Перейти к содержимому
Калькуляторы

ferm для iptables кто-нибудь использует в продакшн?

Ответить

_dx   

_dx
Опубликовано · Жалоба

Прочитал вот

http://habrahabr.ru/blogs/linux/127184/

 

Интересно, как опытные коллеги отзовутся об этом инструменте?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

s.lobanov   

s.lobanov
Опубликовано · Жалоба

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

GFORGX   

GFORGX
Опубликовано · Жалоба

На софтварных роутерах использую iptables без conntrack по самому минимуму (-P INPUT DROP с дальнейшими исключениями и -P FORWARD ACCEPT), а на обычных тачках (веб-серверы, etc.) - было бы вкусно, будь оно включено в мэйнстрим, а так - увы.

 

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

А для чего такое странное действо может потребоваться?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

s.lobanov   

s.lobanov
Опубликовано · Жалоба

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

А для чего такое странное действо может потребоваться?

 

А как Вы себе представляете процесс добавления/изменения/удаления правил с использованием какой-либо надстройки над iptables? Я себе это вижу так: исправил конфиг, выполнил xxx reload, порадовался что всё хорошо. А если релода конфига нет, то это значит надо сначала самому найти правило(или кучу сгенерированных правил), удалить его, вместо него вставить новое и т.п, потом подправить конфиг, т.е. весь тот же геморрой, что и с голым iptables.

 

Да и вообще делать flush таблиц это приостановка сервисов(для реал-тайм сервисов будет заметно), если политика по умолчанию drop, а не accept

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

GFORGX   

GFORGX
Опубликовано · Жалоба

А как Вы себе представляете процесс добавления/изменения/удаления правил с использованием какой-либо надстройки над iptables? Я себе это вижу так: исправил конфиг, выполнил xxx reload, порадовался что всё хорошо. А если релода конфига нет, то это значит надо сначала самому найти правило(или кучу сгенерированных правил), удалить его, вместо него вставить новое и т.п, потом подправить конфиг, т.е. весь тот же геморрой, что и с голым iptables.

 

Да и вообще делать flush таблиц это приостановка сервисов(для реал-тайм сервисов будет заметно), если политика по умолчанию drop, а не accept

Представлял это себе именно с -F. Впрочем, никакими реалтайм-сервисами не занимаюсь.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

s.lobanov   

s.lobanov
Опубликовано · Жалоба

Представлял это себе именно с -F. Впрочем, никакими реалтайм-сервисами не занимаюсь.

 

Решение уровня десктоп, а для десктопов наверное всё-таки гуёвая надстройка над iptables нужна. Вопрос об область применения этого ferm остаётся открытым.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Abram   

Abram
Опубликовано · Жалоба

reload конфигурации без удаления правил и добавления по новой умеет делать? если нет, то на помойку.

Судя по статье, оно умеет правила заливать через iptables-restore. Получается - да, умеет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Программное обеспечение, биллинг и *unix системы