asi FLAME [ Was: IPTABLES -- skript ]

Peter Surda shurdeek na panorama.sth.ac.at
Středa Říjen 9 19:05:30 CEST 2002


On Wed, Oct 09, 2002 at 02:47:23PM +0000, Zdenek Kaminski wrote:
> Dneska mam nejakou psaci chut.
:-)

> > > No a ja si zase myslim, ze skript pro iptables je mnohem
> > > prehlednejsi. Navic pokud mate napr. v --log-prefix retezec, ktery
> > > obsahuje mezeru, tak iptables-save ho ulozi spatne :-(
> > Nemas pravdu, uz to opravili:
> :-) Tak to jsem pozadu, protoze "nedavno" tam ta chyba jeste byla. A ja
> neminim nachazet dalsi :-/ (ted jsem si to zkusil a chcipe mi to na modulu
> recent... ) 
No ja do netfiltra aj pisem trocha kodu a sledujem devel mejling list takze
som viac up2date :-)

> Neminim nekde neco hledat. Je pravda, ze mnohoradkovy firewall se ve skriptu
> startuje vyrazne dele, nez iptables-restore, avsak stroje uz zakazniku se
> restartuji malokdy a tak me ta chvilka navic nevadi.
Zhrnute: zavisi od situacie.

> > > vim <cesta_ke_skriptu>; 
> > > <cesta_ke_skriptu_> start 
> > Oprav ma ked sa mylim, ale nie je na isty cas nefunkcna konfiguracia?
> Ano je.
Hmm.

> Leda ze by clovek delal upravu online, jenze je-li ta zmena zasadnejsi,
> tak mi prijde jednodussi cely firewall nastartovat znovu, pomer
> cena/funkcni_konfigurace/prace_s_tim_spojena je mnohem lepsi ;) Teda pro
> mne samozrejme.
No ja som s tym problemy nikdy nemal.

> A pak tady na radu prichazi skript. Preci jen, mene zkusenemu oku skript
> vyhovuje vice (uz vidim zacatecnika, jak ta pravidla vytvari a maze za
> behu). 
Hej, na studium je to lepsie.

> Na uplne jednoduchem firewallu je uplne jedno, jestli skript nebo
> iptables-save/restore. Na firewallu, ktery je slozitejsi a ktery se hlavne
> generuje automaticky, ci nacita volby od jinud je skript jedinecny.
No ja na to jednoducho tak nie som zvyknuty, skratka spravim konfig, sejvnem,
a ked treba zmenu tak to spravim online a sejvnem znova a nemusim sa starat
o nejaky skript. Ako som uz povedal, na spravenie kostry je to dobra vec.

> Dobre napsany a okomentovany skript je mnohem cennejsi, kdyz ctete
> konfiguraci po nekom jinem.
Zavisi od citatela.

> Pak tam je obvykle poznamenano proc jste delal toto a proc zrovna takto.
No ja mam kopu veci ku ktorym by som musel pisat komplet HOWTO ze preco to je
tak :-)

> iptables-save/restore je v tomto pripade uplne na nic. Leda ze by si po Vas
> ten firewall cetlo nejake brutalni guru, co to ma v oku na prvni pohled!
Tak som asi ten guru :-)

> Skript je takove dobre rozhrani, pokud firewall spravuje vice nez jeden
> clovek. A to je podle me VYRAZNE plus pro skript.
Dobre, uzavrime to tak, ze ja som guru a na obycajnych ludi som zabudol.

> > [root na clustor root]# wc /etc/sysconfig/iptables
> >    5087   26277  221471 /etc/sysconfig/iptables
> :-) Hmm, tak velky firewall a neni generovany z nejake databaze? Nebo je
> snad? :-)))
Ciastocne, accounting je generovany v konecnom dosledku z databazy, podotykam
online, upravovane za behu. Zvysok je tiez dost brutalny (transparentne proxy,
portforwarding, traffic control, rate limiting, load balancing,
"zneskodnovanie virov"), ale to vsetko menim online z command liny. Napr. pred
stvrt hodinou som upravil load balancing.

> Zkratka JASNE vyhrava skript :-)))))
:-)

> Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>
Bye,

Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023

--
 - "The world we're living in lies always in darkness."
 - "That's why we're seeking the light."
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 232 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20021009/74d79bd0/attachment.sig>


Další informace o konferenci Linux