From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <slazav@altlinux.org>
Message-ID: <4AFC2865.9020306@altlinux.org>
Date: Thu, 12 Nov 2009 18:23:17 +0300
From: Vladislav Zavjalov <slazav@altlinux.org>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US;
	rv:1.9.1.5pre) Gecko/20091019 Thunderbird/3.0pre
MIME-Version: 1.0
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: [devel] alterator-net-iptables news
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 12 Nov 2009 15:23:19 -0000
Archived-At: <http://lore.altlinux.org/devel/4AFC2865.9020306@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

(пишу сюда, поскольку список devel-conf куда-то делся...:)

Сегодня добавил в alterator-net-iptables функциональность, которая
может оказаться кому-то полезной... А кому-то - все запутать :)

Как известно, в основе всей этой системы лежит мега-скрипт
alterator-net-iptables(1). Он хранит свою конфирурацию и генерит
из нее конфигурацию для iptables в etcnet.
Различные программы и модули альтератора (Брандмауэр, Черный список,
Ограничение доступа из внутренних сетей, Перенаправление портов)
обращаются к этому скрипту для произведения нужных настроек. Этим
достигается согласованность всех настроек и возможность работать в
терминах более высокого уровня, отличными от терминов iptables

Была запрошена и реализована возможность вручную менять правила
iptables произвольным образом через web-интерфейс. Сделано это так:

alterator-net-iptables специальной командой может переводиться в
режим, при котором он обновляет свою конфигурацию как обычно, но не
коммитит ее в систему.

После этого можно исправлять таблицы iptables (для этого сделан
специальный модуль альтератора). При выходе из режима ручных настроек
все настройки от alterator-net-iptables восстанавливаются.

В обычном режиме модуль ручных настроек позволяет просматривать правила
iptables, записанные в etcnet.

В режиме ручных настроек, все изменения, сделанные в прочих модулях,
сохраняются, но не коммитятся в систему. В интерфейсе модулей об этом
сделано соответствующее предупреждение (вероятно, похожее предупреждение 
следует сделать и в "чужих" модулях, использующих
alterator-net-iptables).

см. alterator-net-iptables-4.16-alt1

Слава