IPTABLES -- skript

[Pavel Kankovsky]

On Wed, 9 Oct 2002, Jan Houstek wrote:

> Jde o to, ze pokud je treba delat zmeny ve vice systemovych chainech, tak
> to pomoci metody v prvnim odstavci nelze udelat v jednom kroku. Pavel
> Kankovsky si totiz mysli, ze pokud mam vychozi konfiguraci A a chci dostat
> konfigurati B, tak je treba to udelat v jedinem kroku, protoze mezistavy
> nelze povazovat za funkcni konfiguraci (ovsem vyskytl se tu i opacny
> nazor).

Mozna ze mezistavy za fungujici konfiguraci povazovat lze, ale zatim nikdo
neukazal, jak maji ty mezistavy vypadat (mlhavym odkazum na "odbocky" fakt
nerozumim -- co ty odbocky delaji, kdyz to ani nejsou kopii puvodnich
chainu, ale ma to byt funkcne ekvivaletni s puvodni konfiguraci?), a
nezduvodnil, proc nemohou narusit funkci resp. proc lze docasne zmenene
chovani akceptovat.

Tedy ono asi reseni existuje. Pokud proste behem provadeni zmen docasne
nastavi, ze se vsechno bude hazet do cerne diry, pricemz cerna dira bude
ze systemovych chainu odstranovana po dokonceni zmen ve vhodnem poradi,
pak to bude pro vnejsi i vnitrni pozorovatele ekvivalentni s tim, ze
se stara konfigurace nahle zmenila na novou, pricemz se mozna par paketu
ztratilo, ale to se stava normalne a s tim musi kazdy byt schopen zit.

Ovsem mechanismus, ktery by umoznil provadet zmeny konfigurace (a to nejen
iptables) atomicky (pripadne s dalsimi transakcnimi vymoznenostmi) by byl
stejne mnohem lepsi.

> P.S. Jake je asi tak riziko kompromitace serveru kvuli nekolika desetinam
> sekundy, kdyz se vycisti iptables a spusti se skript s novou konfiguraci?

Pokud bude rust hustota sond hledajicich derave sluzby dosavadnim tempem,
tak se z nejakych pet let priblizime ke 100% sanci, ze i behem par
desetin sekundy projde neco, co projit nemelo. ;)

--Pavel Kankovsky aka Peak
"Welcome to the Czech Republic. Bring your own lifeboats."