Wish list ;)))

[Bartosz Waszak]

Czy ktoś pracuje  nad wprowadzeniem   obsługi QoS i policy-routing   do
rc-scripts???

Obecnie zaczynam   się przyglądać netfiltrowi i przystosowaniu do niego
narzędzia   w stylu  firewall-init.   Jaki   jest stan prac nad obsługą
configów  w LDAP.  Co sądzicie o tym aby wydzielić  osobny programi  do
tego  (może do PLD-utils), który by miał  modularną budowę   i pobierał
konfigi z różnych  dziwnym miejsc  np:  SQL, LDAP, pliki textowe,  itp.
Np: regułki firewall równie dobrze siedzieć w MySQL jak i w LDAP.

Jaka powinnabyć składnia tych plików ja mam dwa pomysły:
- każda regułka osobny plik (struktura drzewiasta - łatwe do podpięcia
pod LDAP)
     |\input
     |  |\telnet                  - filtruje telnet itp
     |  |\ftp
     |   \finger
     |\output
     |  |\...............
     |  |\...............
     |   \...............
      \forward
        |\...............
        |\...............
         \...............

wygląd poszczególnych plików w tym układzie
telnet:
POLICY=deny
SOURCE=192.168.1.0/255.255.255.0
DESTINATION=any
[..]

Wady rozwiązania: jeden plik jedna regułka, musiałbym wymyślić sposób
na umieszczanie kilku regułek w jednym pliku. Np:
telnet:
rule1 {
POLICY=deny
SOURCE=192.168.1.0/255.255.255.0
DESTINATION=any
}

rule2 {
POLICY=deny
SOURCE=192.168.1.0/255.255.255.0
DESTINATION=any
}

przy czym nie wiem jak to zaimplementować w przypadku LDAP byłoby
łatwiej, ale w pliku tekstowym.

- mniej plików podział tylko na np: INPUT OUTPUT FORWARD itp.

Dochodzi do tego kwestia lokalizacji plików konfiguracyjnych.
- /etc/sysconfig/firewall/{input,output....}
- /etc/sysconfig/firewall/.functions - nie chciałbym wszyskiego
                        wsadzać do /etc/rc.d/init.d/firewall
- co z NAT wsadzić pod hierarchię /etc/sysconfig/firewall/NAT czy wydzielić
			/etc/sysconfig/NAT/* i uniezależnić te dwie rzeczy
			od siebie. I tworzyć dwa podpakiety firewall-init,
			NAT-init.

Zamiast /etc/sysconfig mógłbybyć /etc/security i to drugie chyba lepiej
pasuje. Tyczy się to także innych programów np: tcp_wrappers - pliki z
/etc/tcpd mogłyby siedzieć w /etc/security/hosts.{allow,deny}.
cron.{allow,deny} z resztą też. Ten katalog ma tego służyć i wygodniej się
konfiguruje system mając pod ręką wszystkie pliki odpowiedzialne za security.

A przy okazji możnaby rozdzielić pppd na pppd i pppd-scripts, albo
wogule zrezygnować z debianowych skryptów i wstawic do /etc/ppp plik
README informujący jak konfigurować ppp. a pon i poff ustawić tak aby 
wykonywały odpowiednio ifup ppp0, ifdown ppp0. Nie można dopuszczać do 
takiej niekonsekwencji. Plik README powinien wystarczyć, a jak ktoś chce
to zrobić po swojemu to i tak zrobi. W innych dystrybucjach np: RH nie
ma takich niekonsekwencji. Jeśli nikt nie zgłosi sprzeciwu zabieram się
do roboty.

PS. Jeśli znacie jakieś GPLowe skrypty do zarządzania ipchains, ipfwadm lub
netfilter dające duże możliwości konfiguracji informujcie.

-- 
 -=[   Bartosz Waszak   ]--[    Where there's no emotion, there's no      ]=-
-==[  waszi w pld.org.pl  ]==[       motive for violence. -- Spock,         ]==-
 -=[ Linux User #153066 ]--[    "Dagger of the Mind", stardate 2715.1     ]=-