IPTABLES -- skript

[Jan Houstek]

> > Myslim, jestli je rucne provadeno to blbnuti kolem: kopirovani chainu
> > (v pripade, ze se jedna o malou zmenu typu prehozeni nekolika malo
> > pravidel z mista na misto), presmerovavani odkazu a nakonec ruseni jiz
> > nepotrebnych chainu.

> > > > (Jinak tato metoda porad neni zcela atomicka, pokud je treba zmenit
> > > > vic sys. chainu.)

> Aha, nepresne som sa vyjadril. Myslim si, ze sa to da vzdy spravit tak,
> aby funkcnost nebola prerusena, ale mozu vzniknut nepresne udaje v
> accountingu, pokial to nemas dodatocne osetrene.

Jde o to, ze pokud je treba delat zmeny ve vice systemovych chainech, tak
to pomoci metody v prvnim odstavci nelze udelat v jednom kroku. Pavel
Kankovsky si totiz mysli, ze pokud mam vychozi konfiguraci A a chci dostat
konfigurati B, tak je treba to udelat v jedinem kroku, protoze mezistavy
nelze povazovat za funkcni konfiguraci (ovsem vyskytl se tu i opacny
nazor).

-- Honza Houstek

P.S. Jake je asi tak riziko kompromitace serveru kvuli nekolika desetinam
sekundy, kdyz se vycisti iptables a spusti se skript s novou konfiguraci?