> Подскажите не будет ли у меня эпик фэйла?

Будет, раз спрашиваешь. Вообще настроить можно, не обрубив ssh, на котором сидишь.

> удаленно ставить/настраивать брандмауер не к добру...

будет ... эпик фэйла

Если у тебя -P ACCEPT и нет явных DROP'ов и явной же сетевой трансляции, то какие проблемы? Смотри счетчики на цепочках.

Можно запускать под screen'ом скриптик, который через N секунд загрузит последнюю работоспособную конфигурацию. Если произошел фейл — убить ты его не сможешь.

Эпик фейл будет если случайно рубанешь SSH на котором сидишь. Способов (очень неочевидных) этому есть куча.

Если уж в больнице совсем скучно то могу порекомендовать следующее.

1. Убедиться что при shutdown сервак не сохраняет правила iptables и/или не восстанавливает правила при загрузке.

2. Поставить чтобы каждые 5 минут iptables правила сбрасывались в ноль, например черех cron или sleep на соседнем терминале; комманды не помню, но они есть ;) (давно ковырялся в iptables).

3. Составить программу тестирования сервака - как проверить все что должно работать - и запускать каждый раз после очередного эксперимента.

4. Предупредить всех, кто имеет отношение к серваку, что могут быть перерывы сервиса и чтобы в этом случае они пинали тебя.

5. Перекреститься.

А вообще это все фигня, так как, если ты действительно держишь сервак, но сначала обкатывай такие вещи на кошках - серваке который не в продакшн, но с такой же конфигурацией. А когда 100% убедишься в рабочей конфигурации - быстро устанавливай ее на реальный сервак, и желательно в ЧНН (час наименьшей нагрузки - ночью, после рабочего дня и т. п. - зависит от организации). Ибо именно это есть Ъ вей.

> Подскажите не будет ли у меня эпик фэйла?
echo '/sbin/iptables -F' | at +20
И настраивайте сколько угодно. В случае чего нужно будет просто подождать.

>Лежу в больнице,

вот лежи и выздоравливай, нефиг трудовой кодекс нарушать.

я ставлю на крон скрипт, который отключает iptables через 3 минуты.

если всё проходит нормально, захожу по ssh и отключаю скрипт. если нет - скрипт отключает iptables и я захожу по ssh и переделываю iptables.

перед применением правил хотя бы в первый раз проверь работоспособность скрипта-отключалки, испльзуюя какие-нибудь безопасные правила для iptables (например, запрети коннекты к порту 12121)

>безопасно ли устанавливать iptables через ssh?

<боян>это страшно делать первые 20 раз, как и пересобирать ядро по удаленке</боян>

>я ставлю на крон скрипт, который отключает iptables через 3 минуты.

вот это правильно

Лаконичненько!

>который через N секунд загрузит последнюю работоспособную конфигурацию

раньше всегда ставил в крон на +25 минут сброс всего в дефолт.
можно сделать проще - добавить в самый верх (-I INPUT 1) правило, разрешающее ssh (или вообще любой трафик от твоего хоста).

последние пару лет я уже как то поостыл ко всему этому и ничего подобного не делаю. хотя кнчно с freebsd, у которой при загрузке модуля ipf в одних манах(версиях) говорят что по дефолту он будет все блокировать, а в других - все разрешать, становится сыкотно чуть чуть. но тут крон и спасает как раз =)

Если считаешь, что iptables «устанавливаются», то фейл будет 100% :)

поставь в крон или в at комманду выполняться которая резетит фаервольные правила. Это нужно на случай фейла.

knockd и настраивай сколько влезет. без всяких скриптов кронов и сброса правил.

Лучше читать.

Если задаёте такие вопросы, значит мало опыта и шило в попе.
Рекомендую почитать книги/мануалы/хауту, а после больницы придти и всё это реализовать.
Если Вы своими щаловлими ручками что-то сломаете, то починить будет очень трудно с больничной койки.

А если по хорошему , работать надо на работе в рабочее время)