asi FLAME [ Was: IPTABLES -- skript ]

Zdenek Kaminski xkaminsk na fi.muni.cz
Středa Říjen 9 16:47:23 CEST 2002 

Dneska mam nejakou psaci chut.

On Wed, 9 Oct 2002, Peter Surda wrote:

> > No a ja si zase myslim, ze skript pro iptables je mnohem
> > prehlednejsi. Navic pokud mate napr. v --log-prefix retezec, ktery
> > obsahuje mezeru, tak iptables-save ho ulozi spatne :-(
> Nemas pravdu, uz to opravili:
> ----------------------------------
> /* Saves the union ipt_targinfo in parsable form to stdout. */
> static void
> save(const struct ipt_ip *ip, const struct ipt_entry_target *target)
> {
>         const struct ipt_log_info *loginfo
>                 = (const struct ipt_log_info *)target->data;
> 
>         if (strcmp(loginfo->prefix, "") != 0)
>                 printf("--log-prefix \"%s\" ", loginfo->prefix);
> 
> ----------------------------------

:-) Tak to jsem pozadu, protoze "nedavno" tam ta chyba jeste byla. A ja
neminim nachazet dalsi :-/ (ted jsem si to zkusil a chcipe mi to na modulu
recent... ) 

Neminim nekde neco hledat. Je pravda, ze mnohoradkovy firewall
se ve skriptu startuje vyrazne dele, nez iptables-restore, avsak stroje uz
zakazniku se restartuji malokdy a tak me ta chvilka navic nevadi.


> > vim <cesta_ke_skriptu>; 
> > <cesta_ke_skriptu_> start 
> Oprav ma ked sa mylim, ale nie je na isty cas nefunkcna konfiguracia?

Ano je.
Leda ze by clovek delal upravu online, jenze je-li ta zmena zasadnejsi,
tak mi prijde jednodussi cely firewall nastartovat znovu, pomer
cena/funkcni_konfigurace/prace_s_tim_spojena je mnohem lepsi ;) Teda pro
mne samozrejme.

A pak tady na radu prichazi skript. Preci jen, mene zkusenemu oku skript
vyhovuje vice (uz vidim zacatecnika, jak ta pravidla vytvari a maze za
behu). 

Je-li vsak nutne pozadovana kvalita za kazdou cenu, pak uprava za behu je
jasna volba. Ano, a pak musim upravit i svuj skript a v tomhle je asi
iptables-save/restore rychlejsi.

> 
> > Pokud mi nekdo ukaze PREHLEDNEJSI,
> Na studium suhlasim, na prevadzku je omnoho dolezitejsie pouzivat inteligentu
> strukturu, hlavne vyuzit cejny.

Na uplne jednoduchem firewallu je uplne jedno, jestli skript nebo
iptables-save/restore. Na firewallu, ktery je slozitejsi a ktery se hlavne
generuje automaticky, ci nacita volby od jinud je skript jedinecny.



> 
> > POHODLNEJSI
> Vid nizsie.

Dobre napsany a okomentovany skript je mnohem cennejsi, kdyz ctete
konfiguraci po nekom jinem. Pak tam je obvykle poznamenano proc jste delal
toto a proc zrovna takto. iptables-save/restore je v tomto pripade uplne
na nic. Leda ze by si po Vas ten firewall cetlo nejake brutalni guru, co
to ma v oku na prvni pohled! Skript je takove dobre rozhrani, pokud
firewall spravuje vice nez jeden clovek. A to je podle me VYRAZNE plus pro
skript.


> > reseni pomoci iptables-save/restore, budu jen rad a zacnu ho pouzivat.
> restore vyvolavam len raz, pri butovani, a save v crontabe. Konfiguraciu
> upravujem "online". A je to IMHO dost komplexne:
> 
> -----------------------------------------------------------------------
> [root na clustor root]# wc /etc/sysconfig/iptables
>    5087   26277  221471 /etc/sysconfig/iptables

:-) Hmm, tak velky firewall a neni generovany z nejake databaze? Nebo je
snad? :-)))

<Brutal flame>
Zkratka JASNE vyhrava skript :-)))))
</Brutal flame>

---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>

homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/

Další informace o konferenci Linux