ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] Перезагрузка правил iptables в etcnet
@ 2007-03-14  8:15 Serge
  2007-03-14 10:41 ` Andrii Dobrovol`s`kii
                   ` (2 more replies)
  0 siblings, 3 replies; 13+ messages in thread
From: Serge @ 2007-03-14  8:15 UTC (permalink / raw)
  To: sysadmins

Вношу новые правила в firewall, построенном на etcnet.
делаю service network restart - в результате:
новые правила вступают в силу, но сетевые интерфейсы падают и потом опять 
подымаются. В результате закачки пользователей обрываются.
Вопрос: как правильно перегружать firewall в etcnet, что бы пользователи не 
чувствовали этого?


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14  8:15 [Sysadmins] Перезагрузка правил iptables в etcnet Serge
@ 2007-03-14 10:41 ` Andrii Dobrovol`s`kii
  2007-03-14 11:17   ` Dmitriy L. Kruglikov
  2007-03-14 13:24 ` Vladimir V. Kamarzin
  2007-03-14 15:42 ` Andrew Kornilov
  2 siblings, 1 reply; 13+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-14 10:41 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 865 bytes --]

Serge пишет:
> Вношу новые правила в firewall, построенном на etcnet.
> делаю service network restart - в результате:
> новые правила вступают в силу, но сетевые интерфейсы падают и потом опять 
> подымаются. В результате закачки пользователей обрываются.
> Вопрос: как правильно перегружать firewall в etcnet, что бы пользователи не 
> чувствовали этого?
При рестарте сети разве может быть иначе? Рестарт это сперва
остановка всего а затем подъем... Может Вам хватит перезагрузки
файрвола?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14 10:41 ` Andrii Dobrovol`s`kii
@ 2007-03-14 11:17   ` Dmitriy L. Kruglikov
  2007-03-14 11:30     ` Andrii Dobrovol`s`kii
  0 siblings, 1 reply; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-14 11:17 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Среда, 14 Март 2007 года,
Andrii Dobrovol`s`kii писал(а) в сообщении: 

AD == Andrii Dobrovol`s`kii

AD> Может Вам хватит перезагрузки
AD> файрвола?
А откуда, в этом случае, вычитаются правила?
Кто-нибудь просканирует все подкаталоги /etc/net/ifaces/*
и соберет нормальные правила из HUMAN_SYNTAX ?
Я, почему-то, не уверен ...
Прочитаются правила из /etc/sysconfig/iptables...

Теперь у нас два места, в которые можно засунуть правила,
и меня это, почему-то, не радует...

Но скорее всего, я чего-то не знаю ...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Многие люди принимают свою память за интеллект и свои взгляды - за факты.
		-- П.Массон


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14 11:17   ` Dmitriy L. Kruglikov
@ 2007-03-14 11:30     ` Andrii Dobrovol`s`kii
  2007-03-14 11:40       ` Eugene Ostapets
  0 siblings, 1 reply; 13+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-14 11:30 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 1201 bytes --]

Dmitriy L. Kruglikov пишет:
> На календаре было: Среда, 14 Март 2007 года,
> Andrii Dobrovol`s`kii писал(а) в сообщении: 
> 
> AD == Andrii Dobrovol`s`kii
> 
> AD> Может Вам хватит перезагрузки
> AD> файрвола?
> А откуда, в этом случае, вычитаются правила?
> Кто-нибудь просканирует все подкаталоги /etc/net/ifaces/*
> и соберет нормальные правила из HUMAN_SYNTAX ?
Не знаю. Я пока этим механизмом не пользовался. Но, неужели Денис
этого момента не учел? Тогда надо вообще всё это от туда убирать.
Это будет уже не мина а ядерный заряд под систему...
> Я, почему-то, не уверен ...
> Прочитаются правила из /etc/sysconfig/iptables...
> 
> Теперь у нас два места, в которые можно засунуть правила,
> и меня это, почему-то, не радует...
> 
Меня тоже...
> Но скорее всего, я чего-то не знаю ...
> 
> 
Очень надеюсь.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14 11:30     ` Andrii Dobrovol`s`kii
@ 2007-03-14 11:40       ` Eugene Ostapets
  2007-03-14 11:54         ` Dmitriy L. Kruglikov
                           ` (2 more replies)
  0 siblings, 3 replies; 13+ messages in thread
From: Eugene Ostapets @ 2007-03-14 11:40 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

14.03.07, Andrii Dobrovol`s`kii<dobr iop.kiev.ua> написал(а):
> Dmitriy L. Kruglikov пишет:
> > и соберет нормальные правила из HUMAN_SYNTAX ?
> Не знаю. Я пока этим механизмом не пользовался. Но, неужели Денис
> этого момента не учел? Тогда надо вообще всё это от туда убирать.
> Это будет уже не мина а ядерный заряд под систему...
я конечно понимаю что чукча писатель, а не читатель... Но неужели так
трудно заглянуть в /etc/net/scripts и интуитивно догадаться о
назначении config-fw?

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14 11:40       ` Eugene Ostapets
@ 2007-03-14 11:54         ` Dmitriy L. Kruglikov
  2007-03-14 11:55         ` Serge
  2007-03-14 12:29         ` Andrii Dobrovol`s`kii
  2 siblings, 0 replies; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-14 11:54 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Среда, 14 Март 2007 года,
Eugene Ostapets писал(а) в сообщении: 

EO == Eugene Ostapets

EO> я конечно понимаю что чукча писатель, а не читатель... Но неужели так
EO> трудно заглянуть в /etc/net/scripts и интуитивно догадаться о
EO> назначении config-fw?

На сколько я понял, config-fw передернет правила для конкретного интерфейса.
Так?
При этом ни коим образом не затрагивается /etc/sysconfig/iptables.
А что у нас произойдет после 
/etc/init.d/iptables stop
/etc/init.d/iptables start
?

Каждый подберет словосочетания в меру своей воспитанности, надеюсь :)
Потому как все, что было прописано и применено посредством config-fw
будет потеряно.

У нас есть две _независимые системы управления iptables...
А если принимать во внимание недавний тред о скриптах, 
то уже три ...

Думаю, что системе средней сложности, снесет крышу...

А если вспомнить о каких-либо демонах, типа blokit, которые 
пишут свои правила, то совсем не весело получится...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Безумный бросит камень в колодец - сто мудрецов не вытащат.
		-- Персидская пословица


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14 11:40       ` Eugene Ostapets
  2007-03-14 11:54         ` Dmitriy L. Kruglikov
@ 2007-03-14 11:55         ` Serge
  2007-03-14 12:29         ` Andrii Dobrovol`s`kii
  2 siblings, 0 replies; 13+ messages in thread
From: Serge @ 2007-03-14 11:55 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от 14 марта 2007 13:40 Eugene Ostapets написал(a):
> 14.03.07, Andrii Dobrovol`s`kii<dobr iop.kiev.ua> написал(а):
> > Dmitriy L. Kruglikov пишет:
> > > и соберет нормальные правила из HUMAN_SYNTAX ?
> >
> > Не знаю. Я пока этим механизмом не пользовался. Но, неужели Денис
> > этого момента не учел? Тогда надо вообще всё это от туда убирать.
> > Это будет уже не мина а ядерный заряд под систему...
>
> я конечно понимаю что чукча писатель, а не читатель... Но неужели так
> трудно заглянуть в /etc/net/scripts и интуитивно догадаться о
> назначении config-fw?
как правильно перегружать firewall?
делаю
./config-fw /etc/net/ifaces/eth0 reload
./config-fw: line 18: pickup_defaults: command not found
./config-fw: line 21: init_netprofile: command not found
./config-fw: line 35: profiled_filename: command not found
./config-fw: line 35: SourceIfNotEmpty: command not found
./config-fw: line 36: profiled_filename: command not found
./config-fw: line 36: SourceIfNotEmpty: command not found
./config-fw: line 39: is_yes: command not found
./config-fw: line 40: print_message: command not found


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14 11:40       ` Eugene Ostapets
  2007-03-14 11:54         ` Dmitriy L. Kruglikov
  2007-03-14 11:55         ` Serge
@ 2007-03-14 12:29         ` Andrii Dobrovol`s`kii
  2 siblings, 0 replies; 13+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-14 12:29 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 1117 bytes --]

Eugene Ostapets пишет:
> 14.03.07, Andrii Dobrovol`s`kii<dobr iop.kiev.ua> написал(а):
>> Dmitriy L. Kruglikov пишет:
>>> и соберет нормальные правила из HUMAN_SYNTAX ?
>> Не знаю. Я пока этим механизмом не пользовался. Но, неужели Денис
>> этого момента не учел? Тогда надо вообще всё это от туда убирать.
>> Это будет уже не мина а ядерный заряд под систему...
> я конечно понимаю что чукча писатель, а не читатель... Но неужели так
> трудно заглянуть в /etc/net/scripts и интуитивно догадаться о
> назначении config-fw?
> 
Ну вот. :) "Я же верил!" Только это не решает проблемы бардака с
хранением правил файрвола и передергиванием отдельно файрвола. Про
дополнительные конфигуряторы сетевых экранов я молчу, с ними всё и
так понятно.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14  8:15 [Sysadmins] Перезагрузка правил iptables в etcnet Serge
  2007-03-14 10:41 ` Andrii Dobrovol`s`kii
@ 2007-03-14 13:24 ` Vladimir V. Kamarzin
  2007-03-14 13:30   ` Serge
  2007-03-14 15:42 ` Andrew Kornilov
  2 siblings, 1 reply; 13+ messages in thread
From: Vladimir V. Kamarzin @ 2007-03-14 13:24 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

>>>>> On 14 Mar 2007 at 13:15 "S" == Serge  writes:

 S> Вношу новые правила в firewall, построенном на etcnet.
 S> делаю service network restart - в результате:
 S> новые правила вступают в силу, но сетевые интерфейсы падают и потом опять 
 S> подымаются. В результате закачки пользователей обрываются.
 S> Вопрос: как правильно перегружать firewall в etcnet, что бы пользователи не 
 S> чувствовали этого?

Используйте /etc/net/scripts/contrib/efw

Это как раз рулилка для файрвола.

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14 13:24 ` Vladimir V. Kamarzin
@ 2007-03-14 13:30   ` Serge
  2007-03-14 13:34     ` Vladimir V. Kamarzin
  2007-03-14 15:45     ` Andrew Kornilov
  0 siblings, 2 replies; 13+ messages in thread
From: Serge @ 2007-03-14 13:30 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss


> Используйте /etc/net/scripts/contrib/efw
>
> Это как раз рулилка для файрвола.
о! как раз оно
спасибо!

как же все таки пользоваться config-fw?


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14 13:30   ` Serge
@ 2007-03-14 13:34     ` Vladimir V. Kamarzin
  2007-03-14 15:45     ` Andrew Kornilov
  1 sibling, 0 replies; 13+ messages in thread
From: Vladimir V. Kamarzin @ 2007-03-14 13:34 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

>>>>> On 14 Mar 2007 at 18:30 "S" == Serge  writes:

>> Используйте /etc/net/scripts/contrib/efw
>>
>> Это как раз рулилка для файрвола.
 S> о! как раз оно
 S> спасибо!
 S> как же все таки пользоваться config-fw?

А им не надо пользоваться :) Он для внутренней кухни etcnet.

hiddenman, ау :)

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14  8:15 [Sysadmins] Перезагрузка правил iptables в etcnet Serge
  2007-03-14 10:41 ` Andrii Dobrovol`s`kii
  2007-03-14 13:24 ` Vladimir V. Kamarzin
@ 2007-03-14 15:42 ` Andrew Kornilov
  2 siblings, 0 replies; 13+ messages in thread
From: Andrew Kornilov @ 2007-03-14 15:42 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Serge wrote:
> Вношу новые правила в firewall, построенном на etcnet.
> делаю service network restart - в результате:
> новые правила вступают в силу, но сетевые интерфейсы падают и потом опять 
> подымаются. В результате закачки пользователей обрываются.
> Вопрос: как правильно перегружать firewall в etcnet, что бы пользователи не 
> чувствовали этого?
>   
Для ручного управления *tables есть скриптик 
/etc/net/scripts/contrib/efw. Пока он в contrib. Можете симлинк сделал в 
/sbin/ куда-нибудь. Там же лежит скрипт eqos для перезапуска QoS для 
интерфейса(-ов).


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
  2007-03-14 13:30   ` Serge
  2007-03-14 13:34     ` Vladimir V. Kamarzin
@ 2007-03-14 15:45     ` Andrew Kornilov
  1 sibling, 0 replies; 13+ messages in thread
From: Andrew Kornilov @ 2007-03-14 15:45 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Serge wrote:
>> Используйте /etc/net/scripts/contrib/efw
>>
>> Это как раз рулилка для файрвола.
>>     
> о! как раз оно
> спасибо!
>
> как же все таки пользоваться config-fw?
>   
config-fw, так и все остальные config-* предназначены для запуска самим 
etcnet в нужном случае. Для ручного управления QoS и firewall я сделал 
efw и eqos, которые незаслуженно лежат в contrib :) Если чего-то не 
хватает, пишите и сделаю. Кстати, советую 0.8.6 взять (в sisyphus@ 
писал, где), там, кроме нового функционала, кое-что поправлено еще.


^ permalink raw reply	[flat|nested] 13+ messages in thread

end of thread, other threads:[~2007-03-14 15:45 UTC | newest]

Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-03-14  8:15 [Sysadmins] Перезагрузка правил iptables в etcnet Serge
2007-03-14 10:41 ` Andrii Dobrovol`s`kii
2007-03-14 11:17   ` Dmitriy L. Kruglikov
2007-03-14 11:30     ` Andrii Dobrovol`s`kii
2007-03-14 11:40       ` Eugene Ostapets
2007-03-14 11:54         ` Dmitriy L. Kruglikov
2007-03-14 11:55         ` Serge
2007-03-14 12:29         ` Andrii Dobrovol`s`kii
2007-03-14 13:24 ` Vladimir V. Kamarzin
2007-03-14 13:30   ` Serge
2007-03-14 13:34     ` Vladimir V. Kamarzin
2007-03-14 15:45     ` Andrew Kornilov
2007-03-14 15:42 ` Andrew Kornilov

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git