Jump to content
Калькуляторы

ferm для iptables кто-нибудь использует в продакшн?

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

Share this post


Link to post
Share on other sites

На софтварных роутерах использую iptables без conntrack по самому минимуму (-P INPUT DROP с дальнейшими исключениями и -P FORWARD ACCEPT), а на обычных тачках (веб-серверы, etc.) - было бы вкусно, будь оно включено в мэйнстрим, а так - увы.

 

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

А для чего такое странное действо может потребоваться?

Share this post


Link to post
Share on other sites

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

А для чего такое странное действо может потребоваться?

 

А как Вы себе представляете процесс добавления/изменения/удаления правил с использованием какой-либо надстройки над iptables? Я себе это вижу так: исправил конфиг, выполнил xxx reload, порадовался что всё хорошо. А если релода конфига нет, то это значит надо сначала самому найти правило(или кучу сгенерированных правил), удалить его, вместо него вставить новое и т.п, потом подправить конфиг, т.е. весь тот же геморрой, что и с голым iptables.

 

Да и вообще делать flush таблиц это приостановка сервисов(для реал-тайм сервисов будет заметно), если политика по умолчанию drop, а не accept

Share this post


Link to post
Share on other sites

А как Вы себе представляете процесс добавления/изменения/удаления правил с использованием какой-либо надстройки над iptables? Я себе это вижу так: исправил конфиг, выполнил xxx reload, порадовался что всё хорошо. А если релода конфига нет, то это значит надо сначала самому найти правило(или кучу сгенерированных правил), удалить его, вместо него вставить новое и т.п, потом подправить конфиг, т.е. весь тот же геморрой, что и с голым iptables.

 

Да и вообще делать flush таблиц это приостановка сервисов(для реал-тайм сервисов будет заметно), если политика по умолчанию drop, а не accept

Представлял это себе именно с -F. Впрочем, никакими реалтайм-сервисами не занимаюсь.

Share this post


Link to post
Share on other sites

Представлял это себе именно с -F. Впрочем, никакими реалтайм-сервисами не занимаюсь.

 

Решение уровня десктоп, а для десктопов наверное всё-таки гуёвая надстройка над iptables нужна. Вопрос об область применения этого ferm остаётся открытым.

Share this post


Link to post
Share on other sites

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

Судя по статье, оно умеет правила заливать через iptables-restore. Получается - да, умеет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this