* [Sysadmins] Перезагрузка правил iptables в etcnet
@ 2007-03-14 8:15 Serge
2007-03-14 10:41 ` Andrii Dobrovol`s`kii
` (2 more replies)
0 siblings, 3 replies; 13+ messages in thread
From: Serge @ 2007-03-14 8:15 UTC (permalink / raw)
To: sysadmins
Вношу новые правила в firewall, построенном на etcnet.
делаю service network restart - в результате:
новые правила вступают в силу, но сетевые интерфейсы падают и потом опять
подымаются. В результате закачки пользователей обрываются.
Вопрос: как правильно перегружать firewall в etcnet, что бы пользователи не
чувствовали этого?
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 8:15 [Sysadmins] Перезагрузка правил iptables в etcnet Serge
@ 2007-03-14 10:41 ` Andrii Dobrovol`s`kii
2007-03-14 11:17 ` Dmitriy L. Kruglikov
2007-03-14 13:24 ` Vladimir V. Kamarzin
2007-03-14 15:42 ` Andrew Kornilov
2 siblings, 1 reply; 13+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-14 10:41 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 865 bytes --]
Serge пишет:
> Вношу новые правила в firewall, построенном на etcnet.
> делаю service network restart - в результате:
> новые правила вступают в силу, но сетевые интерфейсы падают и потом опять
> подымаются. В результате закачки пользователей обрываются.
> Вопрос: как правильно перегружать firewall в etcnet, что бы пользователи не
> чувствовали этого?
При рестарте сети разве может быть иначе? Рестарт это сперва
остановка всего а затем подъем... Может Вам хватит перезагрузки
файрвола?
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 10:41 ` Andrii Dobrovol`s`kii
@ 2007-03-14 11:17 ` Dmitriy L. Kruglikov
2007-03-14 11:30 ` Andrii Dobrovol`s`kii
0 siblings, 1 reply; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-14 11:17 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Среда, 14 Март 2007 года,
Andrii Dobrovol`s`kii писал(а) в сообщении:
AD == Andrii Dobrovol`s`kii
AD> Может Вам хватит перезагрузки
AD> файрвола?
А откуда, в этом случае, вычитаются правила?
Кто-нибудь просканирует все подкаталоги /etc/net/ifaces/*
и соберет нормальные правила из HUMAN_SYNTAX ?
Я, почему-то, не уверен ...
Прочитаются правила из /etc/sysconfig/iptables...
Теперь у нас два места, в которые можно засунуть правила,
и меня это, почему-то, не радует...
Но скорее всего, я чего-то не знаю ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Многие люди принимают свою память за интеллект и свои взгляды - за факты.
-- П.Массон
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 11:17 ` Dmitriy L. Kruglikov
@ 2007-03-14 11:30 ` Andrii Dobrovol`s`kii
2007-03-14 11:40 ` Eugene Ostapets
0 siblings, 1 reply; 13+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-14 11:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1201 bytes --]
Dmitriy L. Kruglikov пишет:
> На календаре было: Среда, 14 Март 2007 года,
> Andrii Dobrovol`s`kii писал(а) в сообщении:
>
> AD == Andrii Dobrovol`s`kii
>
> AD> Может Вам хватит перезагрузки
> AD> файрвола?
> А откуда, в этом случае, вычитаются правила?
> Кто-нибудь просканирует все подкаталоги /etc/net/ifaces/*
> и соберет нормальные правила из HUMAN_SYNTAX ?
Не знаю. Я пока этим механизмом не пользовался. Но, неужели Денис
этого момента не учел? Тогда надо вообще всё это от туда убирать.
Это будет уже не мина а ядерный заряд под систему...
> Я, почему-то, не уверен ...
> Прочитаются правила из /etc/sysconfig/iptables...
>
> Теперь у нас два места, в которые можно засунуть правила,
> и меня это, почему-то, не радует...
>
Меня тоже...
> Но скорее всего, я чего-то не знаю ...
>
>
Очень надеюсь.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 11:30 ` Andrii Dobrovol`s`kii
@ 2007-03-14 11:40 ` Eugene Ostapets
2007-03-14 11:54 ` Dmitriy L. Kruglikov
` (2 more replies)
0 siblings, 3 replies; 13+ messages in thread
From: Eugene Ostapets @ 2007-03-14 11:40 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
14.03.07, Andrii Dobrovol`s`kii<dobr iop.kiev.ua> написал(а):
> Dmitriy L. Kruglikov пишет:
> > и соберет нормальные правила из HUMAN_SYNTAX ?
> Не знаю. Я пока этим механизмом не пользовался. Но, неужели Денис
> этого момента не учел? Тогда надо вообще всё это от туда убирать.
> Это будет уже не мина а ядерный заряд под систему...
я конечно понимаю что чукча писатель, а не читатель... Но неужели так
трудно заглянуть в /etc/net/scripts и интуитивно догадаться о
назначении config-fw?
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 11:40 ` Eugene Ostapets
@ 2007-03-14 11:54 ` Dmitriy L. Kruglikov
2007-03-14 11:55 ` Serge
2007-03-14 12:29 ` Andrii Dobrovol`s`kii
2 siblings, 0 replies; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-14 11:54 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Среда, 14 Март 2007 года,
Eugene Ostapets писал(а) в сообщении:
EO == Eugene Ostapets
EO> я конечно понимаю что чукча писатель, а не читатель... Но неужели так
EO> трудно заглянуть в /etc/net/scripts и интуитивно догадаться о
EO> назначении config-fw?
На сколько я понял, config-fw передернет правила для конкретного интерфейса.
Так?
При этом ни коим образом не затрагивается /etc/sysconfig/iptables.
А что у нас произойдет после
/etc/init.d/iptables stop
/etc/init.d/iptables start
?
Каждый подберет словосочетания в меру своей воспитанности, надеюсь :)
Потому как все, что было прописано и применено посредством config-fw
будет потеряно.
У нас есть две _независимые системы управления iptables...
А если принимать во внимание недавний тред о скриптах,
то уже три ...
Думаю, что системе средней сложности, снесет крышу...
А если вспомнить о каких-либо демонах, типа blokit, которые
пишут свои правила, то совсем не весело получится...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Безумный бросит камень в колодец - сто мудрецов не вытащат.
-- Персидская пословица
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 11:40 ` Eugene Ostapets
2007-03-14 11:54 ` Dmitriy L. Kruglikov
@ 2007-03-14 11:55 ` Serge
2007-03-14 12:29 ` Andrii Dobrovol`s`kii
2 siblings, 0 replies; 13+ messages in thread
From: Serge @ 2007-03-14 11:55 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 14 марта 2007 13:40 Eugene Ostapets написал(a):
> 14.03.07, Andrii Dobrovol`s`kii<dobr iop.kiev.ua> написал(а):
> > Dmitriy L. Kruglikov пишет:
> > > и соберет нормальные правила из HUMAN_SYNTAX ?
> >
> > Не знаю. Я пока этим механизмом не пользовался. Но, неужели Денис
> > этого момента не учел? Тогда надо вообще всё это от туда убирать.
> > Это будет уже не мина а ядерный заряд под систему...
>
> я конечно понимаю что чукча писатель, а не читатель... Но неужели так
> трудно заглянуть в /etc/net/scripts и интуитивно догадаться о
> назначении config-fw?
как правильно перегружать firewall?
делаю
./config-fw /etc/net/ifaces/eth0 reload
./config-fw: line 18: pickup_defaults: command not found
./config-fw: line 21: init_netprofile: command not found
./config-fw: line 35: profiled_filename: command not found
./config-fw: line 35: SourceIfNotEmpty: command not found
./config-fw: line 36: profiled_filename: command not found
./config-fw: line 36: SourceIfNotEmpty: command not found
./config-fw: line 39: is_yes: command not found
./config-fw: line 40: print_message: command not found
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 11:40 ` Eugene Ostapets
2007-03-14 11:54 ` Dmitriy L. Kruglikov
2007-03-14 11:55 ` Serge
@ 2007-03-14 12:29 ` Andrii Dobrovol`s`kii
2 siblings, 0 replies; 13+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-14 12:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1117 bytes --]
Eugene Ostapets пишет:
> 14.03.07, Andrii Dobrovol`s`kii<dobr iop.kiev.ua> написал(а):
>> Dmitriy L. Kruglikov пишет:
>>> и соберет нормальные правила из HUMAN_SYNTAX ?
>> Не знаю. Я пока этим механизмом не пользовался. Но, неужели Денис
>> этого момента не учел? Тогда надо вообще всё это от туда убирать.
>> Это будет уже не мина а ядерный заряд под систему...
> я конечно понимаю что чукча писатель, а не читатель... Но неужели так
> трудно заглянуть в /etc/net/scripts и интуитивно догадаться о
> назначении config-fw?
>
Ну вот. :) "Я же верил!" Только это не решает проблемы бардака с
хранением правил файрвола и передергиванием отдельно файрвола. Про
дополнительные конфигуряторы сетевых экранов я молчу, с ними всё и
так понятно.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 8:15 [Sysadmins] Перезагрузка правил iptables в etcnet Serge
2007-03-14 10:41 ` Andrii Dobrovol`s`kii
@ 2007-03-14 13:24 ` Vladimir V. Kamarzin
2007-03-14 13:30 ` Serge
2007-03-14 15:42 ` Andrew Kornilov
2 siblings, 1 reply; 13+ messages in thread
From: Vladimir V. Kamarzin @ 2007-03-14 13:24 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 14 Mar 2007 at 13:15 "S" == Serge writes:
S> Вношу новые правила в firewall, построенном на etcnet.
S> делаю service network restart - в результате:
S> новые правила вступают в силу, но сетевые интерфейсы падают и потом опять
S> подымаются. В результате закачки пользователей обрываются.
S> Вопрос: как правильно перегружать firewall в etcnet, что бы пользователи не
S> чувствовали этого?
Используйте /etc/net/scripts/contrib/efw
Это как раз рулилка для файрвола.
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 13:24 ` Vladimir V. Kamarzin
@ 2007-03-14 13:30 ` Serge
2007-03-14 13:34 ` Vladimir V. Kamarzin
2007-03-14 15:45 ` Andrew Kornilov
0 siblings, 2 replies; 13+ messages in thread
From: Serge @ 2007-03-14 13:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Используйте /etc/net/scripts/contrib/efw
>
> Это как раз рулилка для файрвола.
о! как раз оно
спасибо!
как же все таки пользоваться config-fw?
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 13:30 ` Serge
@ 2007-03-14 13:34 ` Vladimir V. Kamarzin
2007-03-14 15:45 ` Andrew Kornilov
1 sibling, 0 replies; 13+ messages in thread
From: Vladimir V. Kamarzin @ 2007-03-14 13:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 14 Mar 2007 at 18:30 "S" == Serge writes:
>> Используйте /etc/net/scripts/contrib/efw
>>
>> Это как раз рулилка для файрвола.
S> о! как раз оно
S> спасибо!
S> как же все таки пользоваться config-fw?
А им не надо пользоваться :) Он для внутренней кухни etcnet.
hiddenman, ау :)
--
vvk
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 8:15 [Sysadmins] Перезагрузка правил iptables в etcnet Serge
2007-03-14 10:41 ` Andrii Dobrovol`s`kii
2007-03-14 13:24 ` Vladimir V. Kamarzin
@ 2007-03-14 15:42 ` Andrew Kornilov
2 siblings, 0 replies; 13+ messages in thread
From: Andrew Kornilov @ 2007-03-14 15:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Serge wrote:
> Вношу новые правила в firewall, построенном на etcnet.
> делаю service network restart - в результате:
> новые правила вступают в силу, но сетевые интерфейсы падают и потом опять
> подымаются. В результате закачки пользователей обрываются.
> Вопрос: как правильно перегружать firewall в etcnet, что бы пользователи не
> чувствовали этого?
>
Для ручного управления *tables есть скриптик
/etc/net/scripts/contrib/efw. Пока он в contrib. Можете симлинк сделал в
/sbin/ куда-нибудь. Там же лежит скрипт eqos для перезапуска QoS для
интерфейса(-ов).
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Перезагрузка правил iptables в etcnet
2007-03-14 13:30 ` Serge
2007-03-14 13:34 ` Vladimir V. Kamarzin
@ 2007-03-14 15:45 ` Andrew Kornilov
1 sibling, 0 replies; 13+ messages in thread
From: Andrew Kornilov @ 2007-03-14 15:45 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Serge wrote:
>> Используйте /etc/net/scripts/contrib/efw
>>
>> Это как раз рулилка для файрвола.
>>
> о! как раз оно
> спасибо!
>
> как же все таки пользоваться config-fw?
>
config-fw, так и все остальные config-* предназначены для запуска самим
etcnet в нужном случае. Для ручного управления QoS и firewall я сделал
efw и eqos, которые незаслуженно лежат в contrib :) Если чего-то не
хватает, пишите и сделаю. Кстати, советую 0.8.6 взять (в sisyphus@
писал, где), там, кроме нового функционала, кое-что поправлено еще.
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2007-03-14 15:45 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-03-14 8:15 [Sysadmins] Перезагрузка правил iptables в etcnet Serge
2007-03-14 10:41 ` Andrii Dobrovol`s`kii
2007-03-14 11:17 ` Dmitriy L. Kruglikov
2007-03-14 11:30 ` Andrii Dobrovol`s`kii
2007-03-14 11:40 ` Eugene Ostapets
2007-03-14 11:54 ` Dmitriy L. Kruglikov
2007-03-14 11:55 ` Serge
2007-03-14 12:29 ` Andrii Dobrovol`s`kii
2007-03-14 13:24 ` Vladimir V. Kamarzin
2007-03-14 13:30 ` Serge
2007-03-14 13:34 ` Vladimir V. Kamarzin
2007-03-14 15:45 ` Andrew Kornilov
2007-03-14 15:42 ` Andrew Kornilov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git