rc.ziew

Radoslaw Kojdecki radek w media-com.com.pl
Śro, 6 Lis 2002, 01:43:14 CET 

On Wed, 6 Nov 2002, Tomasz Kłoczko wrote:
> > - swap w pliku (mozna przeniesc do /etc/fstab)
> Od tego na pewno jest fstab.

Wiem :))

> > - regulki routingu (mozna przeniesc to static-routes ale nie wszystkie bo 
> >   w kilku przypadkach mam policy routing do ktorego sie to nie nadaje)
> I wkładanie tego do rc.local ładnie kolidować będzie przy takim
> rozwiązaniu z choćby "/etc/rc.d/init.d/network restart" ..

Tak, ale poki co nie ma innego miejsca (mowie tu o policy routing).

> > - maskarada (ip rule add from siec/prefix nat adres.zewn) - nie da sie 
> >   tego jeszcze nigdzie przeniesc bo skrypt jest zly (patrz moj post w 
> >   watku na temat static-routes)
> Od IP masq są skrypty do zarzadzania konfiguracją FW (choćby
> firewall-init).

Szczerze mowiac to nie wiedzialem o istnieniu firewall-init 
(przyzwyczailem sie do "swojego" rozwiazania i nawet nie szukalem). Ale do 
mojego przypadku sie nie nadaja (do maskarady bo do firewalla sie nadaja) 
gdyz przez ipchains nie mozna na jednym routerze robic maskarady na rozne 
adresy. 

Chodzi mi o to ze np. 10.0.0.0/24 wychodzi z jednym IP a 10.0.1.0/24 z 
innym IP. Tylko ip rule na cos takiego pozwala.

> Pomijając już, że IP masq to coś innego niż NAT 

To jest sczegolny przypadek NAT.

> do którego
> realizacji o ile nie ma potrzeby używania helperów od protokołów można
> spokojnie użyć PRDB z kernela (na czym właśnie się manipuluje za pomocą
> ip).

PRDB ??

[root w grota linux]# grep -i prdb * -R
[root w grota linux]# pwd
/usr/src/linux
[root w grota linux]# head -n3 Makefile
VERSION = 2
PATCHLEVEL = 2
SUBLEVEL = 22

No chyba za chodzi Ci o policy routing to w jaki sposob chcesz wywolac 
"ip rule add ...." z poziomu PLD-owych rc-scriptsow jesli nie korzystajac 
ze static-nat ??

> > - firewall (nie widze zadnego "legalnego" miejsca do wykonania 
> >   ipchains-restore < /etc/ipchains.rules a wydaje mi sie ze powinno sie to 
> >   znalezc w  /etc/rc.d/init.d/network albo w osobnym pliku 
> jw.

OK - dzieki za wskazanie. Nie wiedzialem.

> > - rdate (na serwerkach gdzie zegar nie trzymie dobrze)
> Ddać skrypt startowy do rdate i/lub wołanie odpowiodniego polecenia w
> /etc/cron.d/

Tak .. i po kilkunastu dniach bede mial kilka "martwych" rdate na liscie 
procesow bo np. przez 2-3 godziny maszyna nie miala internetu.

> (choć w przypadku cyklicznej synchronizacji czasu lepiej 
> używa klienta ntp).

Chodzi o JEDNORAZOWE ustawienie.

> W przypadku /etc/rc.d/init.d/network powinna być też raczej możliwość
> inicjalnego zsynhronizowania czasu (po to żeby dla symetrii w używając
> DHCP używać tu konfiguracji pozyskanej z zewnątrz w konfiguracji).
> Po realizacji tego zniknie jeszcze jeden potencjalny powód ładwanai czegoś 
> do rc.local like.

Ooo .. popieram :))

> > - touch /fastboot ;>> wlasnie .. przydalaby sie opcja do /etc/sysconfig/system
> >   ktora, w przypadku gdy fsck -a nie "pusci" to pozwoli na zrobienie "fsck -y" 
> >   oraz poinformowanie admina o takim fakcie. Czesto moje maszyny stoja 
> >   sobie w miejscach gdzie brakuje pradu bardzo czesto i taka opcja by sie 
> >   przydala (touch /fastboot to workaround).
> Od takich rzeczy jest używanie właściwego fs. Sztukowanie tego w ten
> sposób to jednak błąd w sztuce ..

Z pewnych wzgledow zastosowanie "wlasciwego" fs nie jest mozliwe (np. 
wymagania sprzetowe).

> > Jeszcze w sprawie firewalla to uzycie ipchains-restore jest "eleganckie" 
> > ale dla mnie ma wady. Jedna z nich jest "sztywnosc" pliku ipchains.rules. 
> Zajrzyj na FM i przyjrzyj się dowolnemu innemu oskryptowieniu regółek FW
> -> spakuj -> używaj -> nie truj, że musisz do tego używac rc.local i/lub
> że inaczej się nie da.

Nie mowie ze MUSZE uzywac rc.local tylko ze uzywam (uzywalem do tej pory) 
i po tym watku staralem sie zlikwidowac wszystkie (wiekszosc) wywolan w 
rc.local zeby miec "ladnie" wszystko.

A jak juz sie czepiac to .. gdzie uruchomie to "oskryptowienie regulek FW" ??
jesli nie w rc.local (wiem, mozna do /etc/rc.d/init.d wrzucic ...) ;>>

> Wszystko pod warunkiem ze np. firewall-init nie pasuje Ci z jakiś
> względów.

Pasuje, pasuje :))


Radek
-- 
---------------------------------------------------------------------
Media-Com Sp. z o.o.                       43-100 Tychy, ul. Długa 19
http://www.media-com.com.pl/           e-mail : info w media-com.com.pl
---------------------------------------------------------------------

Więcej informacji o liście dyskusyjnej pld-devel-pl