firewall-init

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Nie, 29 Sie 1999, 20:05:48 CEST 

On Sun, 29 Aug 1999, Jacek Konieczny wrote:

> Cześć
> 
> Widzę, że moja propozycja w postaci pakietu ipchains-init (czy jak on
> się nazywał) została odrzucona. W porządku. Zamiast tego jest skrypt
> firewall-init, z obsługą ipchains.

Trochę inaczej. Znaczy się w tej chwili sytuacja wygląda tak, że jest
firewall-init ale nic nie stoi na przeszkodzie żeby zrobić jeszcze jakiś
inny alternatywny zestaw skryptów. Jak sie przyjrzysz obecnemu pakietowi
ipchains to różni się on od wersji jaka jest np. w RH tym, że nei zawiera
ipchains-scripts .. po to żeby skrypty włąsnie były wymienne.

Dla pełnej jasności .. jeżeli masz jakiś pomysł na inny zestaw skryptów to
ustal z Jankeim (jako zawaidujacym firewall-init) nazwę pseudo pakietu
jaki będą udostępniać pakiety z z skryptami narzedziowymi do ipchans i oba
pakiety mogłby dostać:

Provides:	<ipchans_pseudo_package>
Obsoletes:	<ipchans_pseudo_package>

> W tej 
> Jest tylko mały problem - cofneliśmy się w ten sposób o krok do tyłu,
> tracąc to co daje nam ipchains.
> 
> W szczególności widzę dwa problemy:
> 
> a) ograniczenie się do trzech łańcuchów forward,input,output. Do opisu
> skomplikowanych regół to trochę mało - dlatego przebudowano mechanizmy
> direwall-a w kernelu i dlatego powstało ipchains. Czemu skrypt nie
> umożliwia utwożenia innych łańcuchów?
> 
> b) Nie jest mozliwe zastosowanie REDIRECT (albo coś przeoczyłem).
>    Jak damy policy "REDIRECT", to gdzie należy wpisać numer portu?
> 
> 
> Mogę poprawić ten skrypt jeśli ktoś jest zainteresowany, chociaż wciąż
> nie jestem do tego przekonany.

Nie ma sprawy zauważ tylko, że to nie jest tak do końca cofnięcie się co
bardziej sworzenie wspólnej platformy dla tego typu narzędzi.
Jak chcesz pracować nad alternatywnym zestawem skryprtów to załóż nowy
moduł w repo i rób co uważasz za stosowne .. o zezwolenie nie musisz sie 
nikogo pytać :)

Zapewne są też osoby które korzystają i potrafią skorzystać z możliwości
jakei daje ipchains-scripts jakie jest na stronie domowej ipchans. Ten
pakiet o ile ktoś ma ochotę też należałoby na takich samych prawach jak
powyższe spakować.

Chodzi tylko o to, że integrowanie tego co próbowałeś robić (ściśle) z
rc-scripts byłoby z lekka nieeleganckie i odchodziłoby od podstawowej idei
jaką starają się rządzić Unices to znaczy się, że wszystko o ile jest to
możliewe jest zbudowane z wymiennych klocków :)
W obecnej chwili taka możliwość istnieje i nie jest tu naruszona spójność
a jednocześnie widać ja tworzyć klocek narzędzia ułatwiającego operowanie
na konfiguracji ipchains.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*

Więcej informacji o liście dyskusyjnej pld-devel-pl