From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <foo@junior.esoo.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.0 required=5.0 tests=AWL,BAYES_00 autolearn=ham
	version=3.2.3
Message-ID: <47A71E7E.4070605@junior.esoo.ru>
Date: Mon, 04 Feb 2008 19:17:34 +0500
From: Anton Kvashin <foo@junior.esoo.ru>
User-Agent: Thunderbird 2.0.0.6 (X11/20071022)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <d77783290802040420y2d027fe4p623a03c8cc6ebbb3@mail.gmail.com>
In-Reply-To: <d77783290802040420y2d027fe4p623a03c8cc6ebbb3@mail.gmail.com>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins]
 =?koi8-r?b?W0NvbW1dIMvByyDJ09DPzNjaz9fB1NggZnFkbiDX?=
 =?koi8-r?b?INDSwdfJzMHIIGlwdGFibGVzPw==?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 04 Feb 2008 14:16:01 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/47A71E7E.4070605@junior.esoo.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Денис Черносов пишет:
> В некоторых ситуациях fqdn (а еще лучше маска!!!) просто необходимо. 
> Потому что одно имя может иметь несколько ip или просто меняться гораздо 
> реже, чем ip.

Внести блок адресов организации/конторы/провайдера. Сделать выборку 
интересующих вас, правда покрытие может быть шире.

> Суть проблемы в том, что iptables стартует ДО поднятия интерфейсов и ДО 
> старта bind.

Сначала инициализируется сетевая подсистема (подъем интерфейсов), потом 
сетевые сервисы. У вас не так? А если возникнет проблема с DNS?

> Т.е. разрешение имен в этот момент не работает. Если такое 
> правило стоит в /etc/sysconfig/iptables, то iptables при перезагрузке 
> просто отваливается. Можно добавить часть правил iptables в скрипт, 
> который стартует ПОСЛЕ bind, но..:
> 1) Как сделать так, чтобы корректно отрабатывалось поднятие/опускание 
> интерфейсов?

Падение линка? Если нет сети, что вы хотите от фильтра? Если есть другие 
линки, то они должны быть в правилах.

> 2) Как сделать так, чтобы корректно отрабатывалось 
> поднятие/опускание/падение bind?

Заполнить руками/скриптом /etc/hosts. Избавится от имен в цепочках.

> Нигде не наталкивался на предложения по этому поводу. Неужели правильнее 
> будет это всё повесить на Squid? Или есть третий вариант?

А что вы хотите, опишите задачу.

-- 
Anton Kvashin