asi FLAME [ Was: IPTABLES -- skript ]
Peter Surda
shurdeek na panorama.sth.ac.at
Středa Říjen 9 19:05:30 CEST 2002
On Wed, Oct 09, 2002 at 02:47:23PM +0000, Zdenek Kaminski wrote:
> Dneska mam nejakou psaci chut.
:-)
> > > No a ja si zase myslim, ze skript pro iptables je mnohem
> > > prehlednejsi. Navic pokud mate napr. v --log-prefix retezec, ktery
> > > obsahuje mezeru, tak iptables-save ho ulozi spatne :-(
> > Nemas pravdu, uz to opravili:
> :-) Tak to jsem pozadu, protoze "nedavno" tam ta chyba jeste byla. A ja
> neminim nachazet dalsi :-/ (ted jsem si to zkusil a chcipe mi to na modulu
> recent... )
No ja do netfiltra aj pisem trocha kodu a sledujem devel mejling list takze
som viac up2date :-)
> Neminim nekde neco hledat. Je pravda, ze mnohoradkovy firewall se ve skriptu
> startuje vyrazne dele, nez iptables-restore, avsak stroje uz zakazniku se
> restartuji malokdy a tak me ta chvilka navic nevadi.
Zhrnute: zavisi od situacie.
> > > vim <cesta_ke_skriptu>;
> > > <cesta_ke_skriptu_> start
> > Oprav ma ked sa mylim, ale nie je na isty cas nefunkcna konfiguracia?
> Ano je.
Hmm.
> Leda ze by clovek delal upravu online, jenze je-li ta zmena zasadnejsi,
> tak mi prijde jednodussi cely firewall nastartovat znovu, pomer
> cena/funkcni_konfigurace/prace_s_tim_spojena je mnohem lepsi ;) Teda pro
> mne samozrejme.
No ja som s tym problemy nikdy nemal.
> A pak tady na radu prichazi skript. Preci jen, mene zkusenemu oku skript
> vyhovuje vice (uz vidim zacatecnika, jak ta pravidla vytvari a maze za
> behu).
Hej, na studium je to lepsie.
> Na uplne jednoduchem firewallu je uplne jedno, jestli skript nebo
> iptables-save/restore. Na firewallu, ktery je slozitejsi a ktery se hlavne
> generuje automaticky, ci nacita volby od jinud je skript jedinecny.
No ja na to jednoducho tak nie som zvyknuty, skratka spravim konfig, sejvnem,
a ked treba zmenu tak to spravim online a sejvnem znova a nemusim sa starat
o nejaky skript. Ako som uz povedal, na spravenie kostry je to dobra vec.
> Dobre napsany a okomentovany skript je mnohem cennejsi, kdyz ctete
> konfiguraci po nekom jinem.
Zavisi od citatela.
> Pak tam je obvykle poznamenano proc jste delal toto a proc zrovna takto.
No ja mam kopu veci ku ktorym by som musel pisat komplet HOWTO ze preco to je
tak :-)
> iptables-save/restore je v tomto pripade uplne na nic. Leda ze by si po Vas
> ten firewall cetlo nejake brutalni guru, co to ma v oku na prvni pohled!
Tak som asi ten guru :-)
> Skript je takove dobre rozhrani, pokud firewall spravuje vice nez jeden
> clovek. A to je podle me VYRAZNE plus pro skript.
Dobre, uzavrime to tak, ze ja som guru a na obycajnych ludi som zabudol.
> > [root na clustor root]# wc /etc/sysconfig/iptables
> > 5087 26277 221471 /etc/sysconfig/iptables
> :-) Hmm, tak velky firewall a neni generovany z nejake databaze? Nebo je
> snad? :-)))
Ciastocne, accounting je generovany v konecnom dosledku z databazy, podotykam
online, upravovane za behu. Zvysok je tiez dost brutalny (transparentne proxy,
portforwarding, traffic control, rate limiting, load balancing,
"zneskodnovanie virov"), ale to vsetko menim online z command liny. Napr. pred
stvrt hodinou som upravil load balancing.
> Zkratka JASNE vyhrava skript :-)))))
:-)
> Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>
Bye,
Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023
--
- "The world we're living in lies always in darkness."
- "That's why we're seeking the light."
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 232 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20021009/74d79bd0/attachment.sig>
Další informace o konferenci Linux