_dx Опубликовано 30 августа, 2011 · Жалоба Прочитал вот http://habrahabr.ru/blogs/linux/127184/ Интересно, как опытные коллеги отзовутся об этом инструменте? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 30 августа, 2011 · Жалоба reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 30 августа, 2011 · Жалоба На софтварных роутерах использую iptables без conntrack по самому минимуму (-P INPUT DROP с дальнейшими исключениями и -P FORWARD ACCEPT), а на обычных тачках (веб-серверы, etc.) - было бы вкусно, будь оно включено в мэйнстрим, а так - увы. reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку. А для чего такое странное действо может потребоваться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 30 августа, 2011 · Жалоба reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку. А для чего такое странное действо может потребоваться? А как Вы себе представляете процесс добавления/изменения/удаления правил с использованием какой-либо надстройки над iptables? Я себе это вижу так: исправил конфиг, выполнил xxx reload, порадовался что всё хорошо. А если релода конфига нет, то это значит надо сначала самому найти правило(или кучу сгенерированных правил), удалить его, вместо него вставить новое и т.п, потом подправить конфиг, т.е. весь тот же геморрой, что и с голым iptables. Да и вообще делать flush таблиц это приостановка сервисов(для реал-тайм сервисов будет заметно), если политика по умолчанию drop, а не accept Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 31 августа, 2011 · Жалоба А как Вы себе представляете процесс добавления/изменения/удаления правил с использованием какой-либо надстройки над iptables? Я себе это вижу так: исправил конфиг, выполнил xxx reload, порадовался что всё хорошо. А если релода конфига нет, то это значит надо сначала самому найти правило(или кучу сгенерированных правил), удалить его, вместо него вставить новое и т.п, потом подправить конфиг, т.е. весь тот же геморрой, что и с голым iptables. Да и вообще делать flush таблиц это приостановка сервисов(для реал-тайм сервисов будет заметно), если политика по умолчанию drop, а не accept Представлял это себе именно с -F. Впрочем, никакими реалтайм-сервисами не занимаюсь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 31 августа, 2011 · Жалоба Представлял это себе именно с -F. Впрочем, никакими реалтайм-сервисами не занимаюсь. Решение уровня десктоп, а для десктопов наверное всё-таки гуёвая надстройка над iptables нужна. Вопрос об область применения этого ferm остаётся открытым. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 5 сентября, 2011 · Жалоба reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку. Судя по статье, оно умеет правила заливать через iptables-restore. Получается - да, умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...