Jump to content

ferm для iptables

_dx
 Share

Recommended Posts

GFORGX

GFORGX

Posted
Posted

На софтварных роутерах использую iptables без conntrack по самому минимуму (-P INPUT DROP с дальнейшими исключениями и -P FORWARD ACCEPT), а на обычных тачках (веб-серверы, etc.) - было бы вкусно, будь оно включено в мэйнстрим, а так - увы.

 

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

А для чего такое странное действо может потребоваться?

s.lobanov

s.lobanov

Posted
Posted

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

А для чего такое странное действо может потребоваться?

 

А как Вы себе представляете процесс добавления/изменения/удаления правил с использованием какой-либо надстройки над iptables? Я себе это вижу так: исправил конфиг, выполнил xxx reload, порадовался что всё хорошо. А если релода конфига нет, то это значит надо сначала самому найти правило(или кучу сгенерированных правил), удалить его, вместо него вставить новое и т.п, потом подправить конфиг, т.е. весь тот же геморрой, что и с голым iptables.

 

Да и вообще делать flush таблиц это приостановка сервисов(для реал-тайм сервисов будет заметно), если политика по умолчанию drop, а не accept

GFORGX

GFORGX

Posted
Posted

А как Вы себе представляете процесс добавления/изменения/удаления правил с использованием какой-либо надстройки над iptables? Я себе это вижу так: исправил конфиг, выполнил xxx reload, порадовался что всё хорошо. А если релода конфига нет, то это значит надо сначала самому найти правило(или кучу сгенерированных правил), удалить его, вместо него вставить новое и т.п, потом подправить конфиг, т.е. весь тот же геморрой, что и с голым iptables.

 

Да и вообще делать flush таблиц это приостановка сервисов(для реал-тайм сервисов будет заметно), если политика по умолчанию drop, а не accept

Представлял это себе именно с -F. Впрочем, никакими реалтайм-сервисами не занимаюсь.

s.lobanov

s.lobanov

Posted
Posted

Представлял это себе именно с -F. Впрочем, никакими реалтайм-сервисами не занимаюсь.

 

Решение уровня десктоп, а для десктопов наверное всё-таки гуёвая надстройка над iptables нужна. Вопрос об область применения этого ferm остаётся открытым.

Abram

Abram

Posted
Posted

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

Судя по статье, оно умеет правила заливать через iptables-restore. Получается - да, умеет.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.