* [Sysadmins] etcnet & FW rules (human readable )
@ 2008-01-09 14:31 Maks Re
2008-01-10 0:44 ` Andrew Kornilov
2008-01-17 6:28 ` Vladimir V. Kamarzin
0 siblings, 2 replies; 7+ messages in thread
From: Maks Re @ 2008-01-09 14:31 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
здрасте вашему.
читал про htb и почему-то захотелось писать правила iptables для etcnet
есть замечательный срипт ipt2etcnet.rb
ЗЫ: вапрос не в тему: на сервере ruby - это кошерно? если да - то
какую компоненту надо поставить чтобы хватило по минимому
после того как отрабатывает скрипт - он прописывает типа команду от
iptables... что есть не совсем human readable стиль
правда при это эта контсрукция и не работает еще..
efw почемуто думает что надо обязательно прописать --prototol TCP
после -p tcp в строчке ...
вапрос:
как должно выглядеть правило проброски порта для следующего примера в
режиме human readable?
iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
DNAT --to-destination 192.168.100.12:80
а то я что-то не осилил...
ЗЫ: багу по скрипту на кого вешать?
--
С уважением,
Макс.
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] etcnet & FW rules (human readable )
2008-01-09 14:31 [Sysadmins] etcnet & FW rules (human readable ) Maks Re
@ 2008-01-10 0:44 ` Andrew Kornilov
2008-01-10 0:48 ` Andrew Kornilov
2008-01-17 6:28 ` Vladimir V. Kamarzin
1 sibling, 1 reply; 7+ messages in thread
From: Andrew Kornilov @ 2008-01-10 0:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Maks Re wrote:
> есть замечательный срипт ipt2etcnet.rb
>
> ЗЫ: вапрос не в тему: на сервере ruby - это кошерно? если да - то
> какую компоненту надо поставить чтобы хватило по минимому
>
> после того как отрабатывает скрипт - он прописывает типа команду от
> iptables... что есть не совсем human readable стиль
Что-то я не понял эту часть.
>
> правда при это эта контсрукция и не работает еще..
> efw почемуто думает что надо обязательно прописать --prototol TCP
> после -p tcp в строчке ...
Не надо там писать протокол в таком виде, он сам напишет :)
> вапрос:
> как должно выглядеть правило проброски порта для следующего примера в
> режиме human readable?
>
> iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
> DNAT --to-destination 192.168.100.12:80
dnat-to 192.168.100.12 if tcp to 1.2.3.4 and dport is 80
if tcp and dst is 1.2.3.4 and dst-port is 80 dnat-to 192.168.100.12
и т.п.
Я там по три и более вариантов замен заложил, на всякий случай.
Короче, такой неформализованный язычоГ. На любителя.
> а то я что-то не осилил...
> ЗЫ: багу по скрипту на кого вешать?
Так что за проблема-то?
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] etcnet & FW rules (human readable )
2008-01-10 0:44 ` Andrew Kornilov
@ 2008-01-10 0:48 ` Andrew Kornilov
0 siblings, 0 replies; 7+ messages in thread
From: Andrew Kornilov @ 2008-01-10 0:48 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Andrew Kornilov wrote:
>> iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
>> DNAT --to-destination 192.168.100.12:80
> dnat-to 192.168.100.12 if tcp to 1.2.3.4 and dport is 80
> if tcp and dst is 1.2.3.4 and dst-port is 80 dnat-to 192.168.100.12
> и т.п.
Забыл интерфейс:
dnat-to 192.168.100.12 if tcp from-iface eth1 to 1.2.3.4 and dport is 80
Короче, методом подбора, несложного. Глючит официально :)
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] etcnet & FW rules (human readable )
2008-01-09 14:31 [Sysadmins] etcnet & FW rules (human readable ) Maks Re
2008-01-10 0:44 ` Andrew Kornilov
@ 2008-01-17 6:28 ` Vladimir V. Kamarzin
2008-01-18 8:29 ` Aleksey Avdeev
1 sibling, 1 reply; 7+ messages in thread
From: Vladimir V. Kamarzin @ 2008-01-17 6:28 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 09 Jan 2008 at 19:31 "MR" == Maks Re writes:
MR> вапрос:
MR> как должно выглядеть правило проброски порта для следующего примера в
MR> режиме human readable?
MR> iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
MR> DNAT --to-destination 192.168.100.12:80
MR> а то я что-то не осилил...
Кстати не обязательно использовать именно "human syntax". Можно просто писать
правила iptables. Например, вышеуказанное будет выглядеть как
/etc/net/ifaces/xxx/fw/iptables/nat/PREROUTING:
-d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination
192.168.100.12:80
При этом human syntax лучше отключить:
IPTABLES_HUMAN_SYNTAX=no
в /etc/net/ifaces/default/fw/options
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] etcnet & FW rules (human readable )
2008-01-17 6:28 ` Vladimir V. Kamarzin
@ 2008-01-18 8:29 ` Aleksey Avdeev
2008-01-18 8:57 ` Vladimir V. Kamarzin
0 siblings, 1 reply; 7+ messages in thread
From: Aleksey Avdeev @ 2008-01-18 8:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 798 bytes --]
Vladimir V. Kamarzin пишет:
>>>>>> On 09 Jan 2008 at 19:31 "MR" == Maks Re writes:
>
> MR> вапрос:
> MR> как должно выглядеть правило проброски порта для следующего примера в
> MR> режиме human readable?
>
> MR> iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
> MR> DNAT --to-destination 192.168.100.12:80
>
> MR> а то я что-то не осилил...
>
> Кстати не обязательно использовать именно "human syntax". Можно просто писать
> правила iptables.
+1
Я так и не смог его ("human syntax") осилить:
1. Написанные с его использованием конструкции не всегда транслировались
в ожидаемые правила (часто -- в правила с ошибками синтаксиса).
2. Много букв (и всё вода ;-)) -- правила iptables весьма лаконичней.
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] etcnet & FW rules (human readable )
2008-01-18 8:29 ` Aleksey Avdeev
@ 2008-01-18 8:57 ` Vladimir V. Kamarzin
2008-01-18 9:35 ` ua2fgb
0 siblings, 1 reply; 7+ messages in thread
From: Vladimir V. Kamarzin @ 2008-01-18 8:57 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 18 Jan 2008 at 13:29 "AA" == Aleksey Avdeev writes:
>> Кстати не обязательно использовать именно "human syntax". Можно просто писать
>> правила iptables.
AA> +1
AA> Я так и не смог его ("human syntax") осилить:
AA> 1. Написанные с его использованием конструкции не всегда транслировались
AA> в ожидаемые правила (часто -- в правила с ошибками синтаксиса).
AA> 2. Много букв (и всё вода ;-)) -- правила iptables весьма лаконичней.
Вообще по-моему было бы неплохо чтобы human syntax по дефолту был
отключен. Дело в том, что не всегда обычные правила iptables обрабатываются
корректно со включенным human syntax, приходится лезть в
ifaces/default/fw/options и отключать.
https://bugzilla.altlinux.org/show_bug.cgi?id=14074
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] etcnet & FW rules (human readable )
2008-01-18 8:57 ` Vladimir V. Kamarzin
@ 2008-01-18 9:35 ` ua2fgb
0 siblings, 0 replies; 7+ messages in thread
From: ua2fgb @ 2008-01-18 9:35 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Vladimir V. Kamarzin пишет:
> Вообще по-моему было бы неплохо чтобы human syntax по дефолту был
> отключен. Дело в том, что не всегда обычные правила iptables обрабатываются
> корректно со включенным human syntax, приходится лезть в
> ifaces/default/fw/options и отключать.
>
> https://bugzilla.altlinux.org/show_bug.cgi?id=14074
>
>
Присоединяюсь.
При попытке вписать примеры из руководств в конфигурацию интерфейса,
human syntax преобразует эти привала в "ошибки синтаксиса" :)
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2008-01-18 9:35 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-01-09 14:31 [Sysadmins] etcnet & FW rules (human readable ) Maks Re
2008-01-10 0:44 ` Andrew Kornilov
2008-01-10 0:48 ` Andrew Kornilov
2008-01-17 6:28 ` Vladimir V. Kamarzin
2008-01-18 8:29 ` Aleksey Avdeev
2008-01-18 8:57 ` Vladimir V. Kamarzin
2008-01-18 9:35 ` ua2fgb
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git