IPTABLES -- skript

[Peter Surda]

On Wed, Oct 09, 2002 at 10:29:12PM +0200, Jan Houstek wrote:
> > Aha, nepresne som sa vyjadril. Myslim si, ze sa to da vzdy spravit tak,
> > aby funkcnost nebola prerusena, ale mozu vzniknut nepresne udaje v
> > accountingu, pokial to nemas dodatocne osetrene.
> Jde o to, ze pokud je treba delat zmeny ve vice systemovych chainech, tak
> to pomoci metody v prvnim odstavci nelze udelat v jednom kroku.
To som nikdy netvrdil, ze to bezi takto:
- mas konfiguraciu A
- napises jeden riadok
- mas konfiguraciu B

Ja si to predstavujem takto
- mas konfiguraciu A
- napises par riadkov
- mas konfiguraciu C, ktora je funkcne totozna s A ale obsahuje neaktivne
  casti
- napsies jeden alebo malo riadkov
- mas konfiguraciu D, ktora je funkcne totozna s B ale obsahuje nejake
  neaktivne casti
- napises par riadkov
- mas konfiguraciu B

Kriticka je cast medzi C a D, tam sa to "prepina".

Niekto moze namietnut, ze je to zlozite, mne to ale pripada "prirodznene" a
jednoduchsie sa mi to testuje.

> Pavel Kankovsky si totiz mysli, ze pokud mam vychozi konfiguraci A a chci
> dostat konfigurati B, tak je treba to udelat v jedinem kroku, protoze
> mezistavy nelze povazovat za funkcni konfiguraci (ovsem vyskytl se tu i
> opacny nazor).
Vid vyssie.

> -- Honza Houstek
> 
> P.S. Jake je asi tak riziko kompromitace serveru kvuli nekolika desetinam
> sekundy, kdyz se vycisti iptables a spusti se skript s novou konfiguraci?
Hlavny dovod nevidim ani tak v bezpecnosti (ta sa aj tak v standartnych
skriptoch robi spravne) ako funkcnosti. iptables je omnoho viac ako
"ochranca".

Bye,

Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023

--
                Where do you think you're going today?
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 232 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20021009/1e3fa209/attachment.sig>