[pld-discuss-pl] ipchains, Ac

Marcin Bohosiewicz marcus w kernel.pl
Wto, 6 Kwi 2004, 09:34:16 CEST 

On Mon, 5 Apr 2004, Andrzej Krzysztofowicz wrote:

> > > Zadalem pytanie na devel, ale nikt nie odpowiedzial, wiec pytam tutaj:
> > > 
> > > Pod jaka nazwa puscic do Ac firewalla dla ipchains ?
> > > (chodzi o bezproblemowy upgrejd z ra)
> > Czy powinniśmy w ogóle wspierać ipchains w ac? Upgrade nie jest
> > obowiązkowy przecież.
> 
> Jesli nie wspieramy upgrejdu, to sugeruje od razu zmienic nazwe: zeby komus
> sie nie wydawalo, ze to jest kontynuacja PLD ;-)
> 
> Poza tym, jak wyobrazasz sobie przejscie na Ac w systemie, gdzie jest kilka
> - kilkanascie _tysiecy_ regulek w ipchains ?
> 
> IMO, moglibysmy nie wspierac, gdyby istnial _niezawodny_ automat do
> konwersji. Ale to chyba nierealne...

A przynajmniej ciezkie do napisania.
Chocby z powodu innego traktowania INPUT i FORWARD w iptables i ipchains.

Druga rzecz, jesliby nawet dac ipchains+firewall-init dla niego
(takie jak w Ra) to przy kernelach > 2.2 pojawia sie jeden problem:
ipchains.o/ipchains.ko nie supportuje ip_masq_* wiec po upgradzie
przestanie dzialac np ftp zza maskarady.

Jest jeszcze jedno wyjscie, dosc trudne, ale imho mozliwe
do wykonania: otoz firewall-init z Ra mial mocno "sztywna"
skladnie - moznaby sie pokusic o napisanie automatu, ktory
uzywajac iptables zapewnialby funkcjonalnosc, ktora w Ra
zapewnialo ipchains. Ale nic wiecej.

M.

-- 
-| == Marcin Bohosiewicz - MB8042-RIPE - marcus w kernel.pl	== |-
-| == tel. +48 601 485097 - PLD Team   - marcus w pld-linux.org   == |-
-| == http://www.kernel.pl/ -          ftp://ftp.kernel.pl/     == |-

Więcej informacji o liście dyskusyjnej pld-discuss-pl