* [Sysadmins] iptables firewall rules with etcnet
@ 2008-02-22 10:25 Alexey Morsov
2008-02-22 10:34 ` ua2fgb
` (2 more replies)
0 siblings, 3 replies; 15+ messages in thread
From: Alexey Morsov @ 2008-02-22 10:25 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1073 bytes --]
Приветствую.
Продолжаю переносить свой роутер на новую машинку под ALS4. Возник вопрос
относительно кошерности работы с iptables с etcnet.
Т.е. раньше я просто писал шелскрипт с кучами iptables -A TABLE ... ,
запускал его и делал iptables save.
Сейчас так тоже работает, но может есть более правильное (и более гибкое,
мощное) решение (смотря в каталоги /etc/net/...)?
--
С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ICQ: 196766290
www.ricom.ru
www.fondmarket.ru
ALT Linux Team Member
email: swi@altlinux.ru
web: www.altlinux.ru, www.sisyphus.ru
NP: Devil-May-Care / Wrong Life Philosophy: 00 - Biblical Bloody Testimonies (The Storm and the Falling of Jerusalem)
[paused] #1/9 5:32/6:27 (86%)
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 10:25 [Sysadmins] iptables firewall rules with etcnet Alexey Morsov
@ 2008-02-22 10:34 ` ua2fgb
2008-02-22 11:41 ` Michael Shigorin
2008-02-22 13:45 ` Alexey Morsov
2008-02-22 11:15 ` Evgen
2008-02-22 15:36 ` Andrew Kornilov
2 siblings, 2 replies; 15+ messages in thread
From: ua2fgb @ 2008-02-22 10:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexey Morsov пишет:
> Приветствую.
>
> Продолжаю переносить свой роутер на новую машинку под ALS4. Возник вопрос
> относительно кошерности работы с iptables с etcnet.
>
> Т.е. раньше я просто писал шелскрипт с кучами iptables -A TABLE ... ,
> запускал его и делал iptables save.
>
> Сейчас так тоже работает, но может есть более правильное (и более гибкое,
> мощное) решение (смотря в каталоги /etc/net/...)?
>
>
Хочешь /etc/net/...?
Загляни в /etc/net/ifaces/default/fw/... Тут есть пример правил для
интерфейса.
!Важно!
Если будешь переносить в /etc/net/ правила сохраненные iptables-save,
отключи IPTABLES_HUMAN_SYNTAX в /etc/net/ifaces/default/fw/options
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 10:25 [Sysadmins] iptables firewall rules with etcnet Alexey Morsov
2008-02-22 10:34 ` ua2fgb
@ 2008-02-22 11:15 ` Evgen
2008-02-22 15:36 ` Andrew Kornilov
2 siblings, 0 replies; 15+ messages in thread
From: Evgen @ 2008-02-22 11:15 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В Птн, 22/02/2008 в 13:25 +0300, Alexey Morsov пишет:
> Приветствую.
>
> Продолжаю переносить свой роутер на новую машинку под ALS4. Возник вопрос
> относительно кошерности работы с iptables с etcnet.
>
> Т.е. раньше я просто писал шелскрипт с кучами iptables -A TABLE ... ,
> запускал его и делал iptables save.
>
> Сейчас так тоже работает, но может есть более правильное (и более гибкое,
> мощное) решение (смотря в каталоги /etc/net/...)?
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
--
Evgen <uran-238@bryansktel.ru>
Bryansktel
Кудаже гибче, чем ручное написание правил...хотя есть
shorewall...посмотрите его.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 10:34 ` ua2fgb
@ 2008-02-22 11:41 ` Michael Shigorin
2008-02-22 13:30 ` Maks Re
2008-02-22 13:45 ` Alexey Morsov
1 sibling, 1 reply; 15+ messages in thread
From: Michael Shigorin @ 2008-02-22 11:41 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Fri, Feb 22, 2008 at 12:34:28PM +0200, ua2fgb wrote:
> Если будешь переносить в /etc/net/ правила сохраненные iptables-save
Там в контрибе был рубишный скриптик для этого дела:
http://fly.osdn.org.ua/~mike/works/misc/iptables2etcnet/
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 11:41 ` Michael Shigorin
@ 2008-02-22 13:30 ` Maks Re
2008-02-22 15:12 ` Michael Shigorin
0 siblings, 1 reply; 15+ messages in thread
From: Maks Re @ 2008-02-22 13:30 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
для человека (меня), не трогавшего ничего из ruby, я так и не смог
запустить этот скрипт.
на серверре ruby нету, а что поставить не понятно
а на десктопе нету такого кол-ва правил... хотя это уже вапрос лени/удобства
2008/2/22 Michael Shigorin <mike@osdn.org.ua>:
> On Fri, Feb 22, 2008 at 12:34:28PM +0200, ua2fgb wrote:
> > Если будешь переносить в /etc/net/ правила сохраненные iptables-save
>
> Там в контрибе был рубишный скриптик для этого дела:
> http://fly.osdn.org.ua/~mike/works/misc/iptables2etcnet/
>
> --
> ---- WBR, Michael Shigorin <mike@altlinux.ru>
> ------ Linux.Kiev http://www.linux.kiev.ua/
>
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
--
С уважением,
Макс.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 10:34 ` ua2fgb
2008-02-22 11:41 ` Michael Shigorin
@ 2008-02-22 13:45 ` Alexey Morsov
1 sibling, 0 replies; 15+ messages in thread
From: Alexey Morsov @ 2008-02-22 13:45 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1076 bytes --]
On Fri, Feb 22, 2008 at 12:34:28PM +0200, ua2fgb@gmail.com wrote:
> Хочешь /etc/net/...?
> Загляни в /etc/net/ifaces/default/fw/... Тут есть пример правил для
> интерфейса.
Там ничего нет. т.е. там пустые файлы :(
Может вы про /usr/share/doc/etcnet-0.9.2/examples ? :) Там вижу да ))
> Если будешь переносить в /etc/net/ правила сохраненные iptables-save,
> отключи IPTABLES_HUMAN_SYNTAX в /etc/net/ifaces/default/fw/options
Та я все равно буду их писать с "прежних" ручками заново :)
--
С уважением,
Алексей Морсов
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ICQ: 196766290
www.ricom.ru
www.fondmarket.ru
ALT Linux Team Member
email: swi@altlinux.ru
web: www.altlinux.ru, www.sisyphus.ru
NP: Kaipa / Angling Feelings: 5 - Liquid Holes In The Sky
[paused] #5/10 0:17/4:42 (6%)
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 13:30 ` Maks Re
@ 2008-02-22 15:12 ` Michael Shigorin
2008-02-22 15:18 ` Владимир
0 siblings, 1 reply; 15+ messages in thread
From: Michael Shigorin @ 2008-02-22 15:12 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Fri, Feb 22, 2008 at 04:30:50PM +0300, Maks Re wrote:
> для человека (меня), не трогавшего ничего из ruby, я так и не
> смог запустить этот скрипт. на серверре ruby нету, а что
> поставить не понятно
apt-get install ruby
:)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 15:12 ` Michael Shigorin
@ 2008-02-22 15:18 ` Владимир
2008-02-22 17:23 ` Michael Shigorin
0 siblings, 1 reply; 15+ messages in thread
From: Владимир @ 2008-02-22 15:18 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 22 февраля 2008 Michael Shigorin написал(a):
> ruby
http://ru.wikibooks.org/wiki/Ruby
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 10:25 [Sysadmins] iptables firewall rules with etcnet Alexey Morsov
2008-02-22 10:34 ` ua2fgb
2008-02-22 11:15 ` Evgen
@ 2008-02-22 15:36 ` Andrew Kornilov
2008-02-22 17:02 ` Alexey Morsov
2 siblings, 1 reply; 15+ messages in thread
From: Andrew Kornilov @ 2008-02-22 15:36 UTC (permalink / raw)
To: sysadmins
Alexey Morsov <samurai@ricom.ru> writes:
> Продолжаю переносить свой роутер на новую машинку под ALS4. Возник вопрос
> относительно кошерности работы с iptables с etcnet.
> Т.е. раньше я просто писал шелскрипт с кучами iptables -A TABLE ... ,
> запускал его и делал iptables save.
> Сейчас так тоже работает, но может есть более правильное (и более гибкое,
> мощное) решение (смотря в каталоги /etc/net/...)?
Для начала рекомендую последнюю версию etcnet. Примеры конфигов можно
посмотреть в examples и на wiki (http://wiki.sisyphus.ru/admin/etcnet,
тут много всего, но сейчас выключено, идет перенос на другой хостинг).
Можно использовать корявенький human syntax, который я сделал для себя
(надоело мне писать эти опции iptables), можно его отключить и писать
обычные опции iptables. Теоретически, оно работает и при включенной опции,
но нужно избегать пробелов в виде -m tcp, иначе попортится всё. А так у
меня работал во всех режимах, специально так делал.
--
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 15:36 ` Andrew Kornilov
@ 2008-02-22 17:02 ` Alexey Morsov
2008-02-22 20:44 ` Andrew Kornilov
0 siblings, 1 reply; 15+ messages in thread
From: Alexey Morsov @ 2008-02-22 17:02 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1347 bytes --]
On Fri, Feb 22, 2008 at 05:36:05PM +0200, Andrew Kornilov wrote:
> Для начала рекомендую последнюю версию etcnet. Примеры конфигов можно
> посмотреть в examples и на wiki (http://wiki.sisyphus.ru/admin/etcnet,
> тут много всего, но сейчас выключено, идет перенос на другой хостинг).
> Можно использовать корявенький human syntax, который я сделал для себя
> (надоело мне писать эти опции iptables), можно его отключить и писать
> обычные опции iptables. Теоретически, оно работает и при включенной опции,
> но нужно избегать пробелов в виде -m tcp, иначе попортится всё. А так у
> меня работал во всех режимах, специально так делал.
Хм. вопрос тогда такой - а оно имеет смысл то вообще? Раз iptables save
работает?
--
С уважением,
Алексей Морсов
Системный администратор ЗАО "ИК "РИКОМ-ТРАСТ"
JID: Samurai@www.fondmarket.ru
NP: music over
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 15:18 ` Владимир
@ 2008-02-22 17:23 ` Michael Shigorin
0 siblings, 0 replies; 15+ messages in thread
From: Michael Shigorin @ 2008-02-22 17:23 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Fri, Feb 22, 2008 at 06:18:55PM +0300, Владимир wrote:
> > ruby
> http://ru.wikibooks.org/wiki/Ruby
Я, собственно, сказал, чего должно быть достаточно,
чтоб упомянутый скрипт смог заработать :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 17:02 ` Alexey Morsov
@ 2008-02-22 20:44 ` Andrew Kornilov
2008-02-22 21:23 ` Alexey Morsov
0 siblings, 1 reply; 15+ messages in thread
From: Andrew Kornilov @ 2008-02-22 20:44 UTC (permalink / raw)
To: sysadmins
Alexey Morsov <samurai@ricom.ru> writes:
>> обычные опции iptables. Теоретически, оно работает и при включенной опции,
>> но нужно избегать пробелов в виде -m tcp, иначе попортится всё. А так у
>> меня работал во всех режимах, специально так делал.
> Хм. вопрос тогда такой - а оно имеет смысл то вообще? Раз iptables save
> работает?
Это уже вам решать :) Я iptables save пользоваться только в случае трех строк
iptables, когда достаточно сохранить и забыть это. Настраивать и управлять этим
невозможно. Почитайте, попробуйте. Возможностей побольше, но и тормозит сильнее
:)
--
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 20:44 ` Andrew Kornilov
@ 2008-02-22 21:23 ` Alexey Morsov
2008-02-22 22:10 ` Andrew Kornilov
0 siblings, 1 reply; 15+ messages in thread
From: Alexey Morsov @ 2008-02-22 21:23 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1213 bytes --]
On Fri, Feb 22, 2008 at 10:44:56PM +0200, Andrew Kornilov wrote:
> > Хм. вопрос тогда такой - а оно имеет смысл то вообще? Раз iptables save
> > работает?
> Это уже вам решать :) Я iptables save пользоваться только в случае трех строк
> iptables, когда достаточно сохранить и забыть это. Настраивать и управлять этим
> невозможно. Почитайте, попробуйте. Возможностей побольше, но и тормозит сильнее
> :)
Нууу... у меня на текущем роутере на ALM2.4 правила тоже датируются
вообщем-то 2004-ым годом по большей части :)
А в чем тормоза?
btw, а как etcnet это сохраняет (особенно счетчики - у меня по ним
собирается статистика)?
--
С уважением,
Алексей Морсов
Системный администратор ЗАО "ИК "РИКОМ-ТРАСТ"
JID: Samurai@www.fondmarket.ru
NP: music over
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 21:23 ` Alexey Morsov
@ 2008-02-22 22:10 ` Andrew Kornilov
2008-02-23 12:15 ` Alexey Morsov
0 siblings, 1 reply; 15+ messages in thread
From: Andrew Kornilov @ 2008-02-22 22:10 UTC (permalink / raw)
To: sysadmins
Alexey Morsov <samurai@ricom.ru> writes:
> Нууу... у меня на текущем роутере на ALM2.4 правила тоже датируются
> вообщем-то 2004-ым годом по большей части :)
> А в чем тормоза?
При загрузке, ибо построчно все читается и переменные обрабатываются.
> btw, а как etcnet это сохраняет (особенно счетчики - у меня по ним
> собирается статистика)?
А никак. Счетчиков в задаче не было :) Так что для счетчиков использовать
iptables save или специализированное ПО. Остальное всё берется из конфигов.
В примерах и на wiki всё есть, можно было уже посмотреть :)
--
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] iptables firewall rules with etcnet
2008-02-22 22:10 ` Andrew Kornilov
@ 2008-02-23 12:15 ` Alexey Morsov
0 siblings, 0 replies; 15+ messages in thread
From: Alexey Morsov @ 2008-02-23 12:15 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1135 bytes --]
On Sat, Feb 23, 2008 at 12:10:52AM +0200, Andrew Kornilov wrote:
> > btw, а как etcnet это сохраняет (особенно счетчики - у меня по ним
> > собирается статистика)?
> А никак. Счетчиков в задаче не было :) Так что для счетчиков использовать
> iptables save или специализированное ПО. Остальное всё берется из конфигов.
> В примерах и на wiki всё есть, можно было уже посмотреть :)
Хм... тогда пока не вижу смысла "ломать себе голову под новый манер" :)
На вики лазил но там уже "конкретика" а мне было нужно узнать в двух
словах как оно вообще :)
Спасибо за ваши ответы.
--
С уважением,
Алексей Морсов
Системный администратор ЗАО "ИК "РИКОМ-ТРАСТ"
JID: Samurai@www.fondmarket.ru
NP: music over
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 489 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2008-02-23 12:15 UTC | newest]
Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-02-22 10:25 [Sysadmins] iptables firewall rules with etcnet Alexey Morsov
2008-02-22 10:34 ` ua2fgb
2008-02-22 11:41 ` Michael Shigorin
2008-02-22 13:30 ` Maks Re
2008-02-22 15:12 ` Michael Shigorin
2008-02-22 15:18 ` Владимир
2008-02-22 17:23 ` Michael Shigorin
2008-02-22 13:45 ` Alexey Morsov
2008-02-22 11:15 ` Evgen
2008-02-22 15:36 ` Andrew Kornilov
2008-02-22 17:02 ` Alexey Morsov
2008-02-22 20:44 ` Andrew Kornilov
2008-02-22 21:23 ` Alexey Morsov
2008-02-22 22:10 ` Andrew Kornilov
2008-02-23 12:15 ` Alexey Morsov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git