Правила iptables и комментарии к ним

Когда-то тоже задавался этим вопросом, наткнулся на модуль comment. Не уверен, жив ли он сейчас.

Благодарю, выглядит обнадеживающе. Сейчас проверим.

>iptables-save/iptables-restore

Когда появился этот механизм, я не понял его преимущества. Файл конфигурации, вроде как, не предназначен для ручного редактирования. Тогда непонятно, либо по одной команде выполнять iptables и иногда делать iptables-save, либо написать скрипт, выполнить его, а потом iptables-save. Тут и твой скрипт и родной файл конфигурации, зачем 2 в разных форматах?

Пользую OSи основанные на RH, написал свой скрипт,который иногда правлю, а стартовый /etc/init.d/iptables поломал так, чтобы он на start/restart выполнял мой. Сделал это давно и менять ничего не хочу. Ну, пару раз приходилось править стартовый скрипт, с новой версией ОС, старый отказывался работать.

Может оно в совокупе с гуевыми утилитами и имеет смысл, но Иксы на сервера не ставлю.

> Когда появился этот механизм, я не понял его преимущества.

+1

iptables-restore не пользуюсь. А вывод iptebles-save лично мне читать удобнее чем iptables -L

писать и ладить скрипт :)

тот самый в котором есть свои каменты и извраты родной сети пришиты к специфике дистрибутива (правилам и именам в фаерволе)

когда усё заработает как надо => «/sbin/ipables-save > /etc/sysconfig/iptables»

и волки целы и овцы сыты :)

> Когда появился этот механизм, я не понял его преимущества

Очень удобно при «ручном» добавлении правил, не требуется пользоваться редакторами, при использовании скриптов динамически создающим правила. И в случае перезагрузки сохранять, восстанавливать текущие актуальные правила.

Собрал в пакет iptadmin и не парюсь. Удобно для редактирования правил в iptables!

iptadmin это же вебдванольное что то ? если да то чур меня чур.

> Что посоветуешь, ЛОР?

/etc/net

Если дебиан, то post-up в interfaces.

Посмотрел. «Известные проблемы - Система слушает сеть только на ip-адресе обратной петли...Имеется поддержка только нескольких опций iptables, в том числе -s, -d, -p, --dport, --sport, -i, -o, --state. А также нескольких целей iptables. Правила, содержащие неизвестные программе опции, нельзя редактировать....»

Для домашней машины, возможно, это и подойдет. Но в большинстве случаев просто не применимо.

comment
Allows you to add comments (up to 256 characters) to any rule.

--comment comment

Example:
iptables -A INPUT -i eth1 -m comment --comment «my local LAN»

Что мешает делать коменты в выводе iptables-save, например, в /etc/sysconfig/iptables, если это red hat/centos?

Некоторые админы привыкли к Red Hat подобным дистрам, поэтому всегда пишут свой скрипт.
ИМХО, это удобнее чем iptables-save

Я для себя вот это сделал: http://freshmeat.net/projects/flex-fw/

Я пишу и правлю свой скрипт с удобным ворматированием и развернутыми комментариями. Когда все ок - делаю iptable-save.

Дома использую только iptables-restore, iptables-save не искользую, посему комментарии храню прямо в файле правил. На работе - shell-скрипт с правилами iptables, который очищает текущие правила, заносит новые и на выходе выдает файл с правилами(скрипт остался от старого админа, с небольшими модификациями). Комментарии соответственно храню внутри скрипта

http://shorewall.net/

Сам юзаю и другим советую. Облегчает настройки правил iptables, заменяет кучу своих самописных скриптов, вводит понятие «зон» - виртуальных сетей, между которыми происходит фильтрация трафика. Нативно поддерживает traffic shaper (tc). позволяет комментировать правила фильтрации (не на уровне iptables, а на уровне своих конфигов). Есть пакеты под RPM-based и Дебиан/Убунту. Ебилды есть также и в Генте.

Enjoy.