OpenForum RSS: Раздел полезных советов: Корректировка вывода arptables-save... https://www.opennet.ru/openforum/vsluhforumID3/55454.html Суть проблемы: в Debian Lenny arptables-save генерирует данные, синтаксически и семантически некорректные <br>с точки зрения arptables-restore.<br><br>Например, если в чистую таблицу filter добавить правило<br><br> # arptables -A INPUT -s 10.128.0.100 -j DROP<br><br>а затем вызвать arptables-save, получим<br><br> # arptables-save<br><br> *filter<br> :INPUT ACCEPT<br> :OUTPUT ACCEPT<br> :FORWARD ACCEPT<br> -A INPUT -j DROP -i any -o any -s 10.128.0.100<br><br>Попытавшись скормить это arptables-restore, увидим<br><br> arptables v0.0.3.3: Can't use -o with INPUT<br><br> Try 'arptables -h' or 'arptables --help' for more information.<br>ERROR(line 5):<br><br>Но даже удаление -o any не сильно исправит дело. Потому что останется -i any. С точки зрения arptables-restore, <br>да и arptables, any ни разу не ключевое слово, а просто имя интерфейса. <br>Почему arptables-save считает иначе - непонятно.<br><br>Подводя итог: вывод arptables-save нужно фильтровать примерно таким образом:<br><br> # arptables-save &#124; sed -e 's/\(-[io]\) any *//g'<br> *filter<br> Корректировка вывода arptables-save в Debian Lenny (debianuser) https://www.opennet.ru/openforum/vsluhforumID3/55454.html#33 Wed, 10 Jun 2009 19:56:35 GMT Так станьте сами мейнтрейнером<br> офф: уже начинайте извиняться (pavlinux) https://www.opennet.ru/openforum/vsluhforumID3/55454.html#32 Tue, 09 Jun 2009 12:09:19 GMT &gt;&gt;В нём нельзя работать<br>&gt;<br>&gt;Неужели? <br>&gt;<br>&gt;&gt;он работает за Вас, только надо один раз настроить.<br>&gt;<br>&gt;А как бы его так настроить, чтобы он сам писал инит-скрипты, грохнутые <br>&gt;неадекватными мейнтейнерами? <br><br>Нейронная сеть и искусственный интеллект вам в помощь... :)<br> <br> офф: уже начинайте извиняться (аноним) https://www.opennet.ru/openforum/vsluhforumID3/55454.html#31 Sun, 07 Jun 2009 16:25:31 GMT &gt;В нём нельзя работать<br><br>Неужели?<br><br>&gt;он работает за Вас, только надо один раз настроить.<br><br>А как бы его так настроить, чтобы он сам писал инит-скрипты, грохнутые неадекватными мейнтейнерами?<br> пирожки (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/55454.html#30 Sun, 07 Jun 2009 12:13:35 GMT &gt;В нём нельзя работать, он работает за Вас, только надо один раз <br>&gt;настроить. <br><br>Ага, и сам пирожки ест.<br> офф: уже начинайте извиняться (pavlinux) https://www.opennet.ru/openforum/vsluhforumID3/55454.html#29 Sun, 07 Jun 2009 12:09:07 GMT &gt;&gt;А зачем Вам Linux?<br>&gt;<br>&gt;Работать в нем. <br><br>В нём нельзя работать, он работает за Вас, только надо один раз настроить.<br><br><br><br> Корректировка вывода arptables-save в Debian Lenny (аноним) https://www.opennet.ru/openforum/vsluhforumID3/55454.html#28 Sun, 07 Jun 2009 11:20:01 GMT &gt;не ляжет, я проверял. <br><br>Знаете ли вы столько багов дебиана, сколько знаю я? Вряд ли. Так что проверить не могли :)<br><br>&gt;видите ли в чём дело... в хорошем дистрибутиве все части системы должны <br>&gt;быть совместимы между собой. если есть скрипт загружающий конфигурацию файрвола, то <br>&gt;он должен быть совместим с hotplug, hal и udev. добится этой <br>&gt;совместимости простым init скриптом который выполняется один раз при старте системы <br>&gt;и никак не реагирует на подключение/отключение в процессе работы сетевых интерфейсов <br>&gt;- невозможно. поэтому то что этот несовместимый с другими частями ОС <br>&gt;скрипт грохнули - это правильно. <br><br>Простите, но ваши аргументы - детский лепет.<br><br>Во-первых, сейчас в линуксе нет метода конфигурирования фаервола, учитывающего "hotplug, hal и udev". Сломать все и ничего не построить - пять баллов.<br>Во-вторых, iptables глубоко наплевать, существует или нет интерфейс, описанный в его правилах. Нет интерфейса - значит правило для него просто не будет срабатывать.<br>В-третьих, динамическое пере Корректировка вывода arptables-save в Debian Lenny (аноним) https://www.opennet.ru/openforum/vsluhforumID3/55454.html#27 Sun, 07 Jun 2009 11:11:29 GMT &gt;Ничего страшного, поднимут и сделают выводы :).Подходов есть два - да, можно <br>&gt;мыкаться с тем что есть, молча в тряпочку, а о том <br>&gt;что у вас проблемы никто кроме вас возможно и не узнает.А <br>&gt;можно багов понаписать.Что явно увеличивает шансы на то что проблема бузет <br>&gt;изучена причастными и даже возможно, починена. <br>&gt;<br>&gt;Если вам нравится самопальное костылестроение - вам первый подход.А если нужна нормальная <br>&gt;система которая работает без подстановки левых костылей и подпорочек, тогда второй. <br><br>Я уже четко и внятно объяснил, что мейнтейнер arptables в нирване. И вообще официальное сообщество положило на этот пакет большой-большой прибор.<br> офф: уже начинайте извиняться (аноним) https://www.opennet.ru/openforum/vsluhforumID3/55454.html#26 Sun, 07 Jun 2009 11:09:48 GMT &gt;А зачем Вам Linux?<br><br>Работать в нем.<br><br>Нет, работать в моем понимании - это не стричь фонтаны.<br> офф: уже начинайте извиняться (pavlinux) https://www.opennet.ru/openforum/vsluhforumID3/55454.html#25 Sun, 07 Jun 2009 00:36:49 GMT &gt;Ога. Тонкое наблюдение. <br>&gt;<br>&gt;Вот представь: каждому десятому (или даже двадцатому) пользователю дебиана нужен инит-скрипт для <br>&gt;iptables. И он его пишет. Итого: несколько тысяч инит-скриптов. Может лучше <br>&gt;сразу идти пустыню подметать? Или хотя бы фонтаны стричь? <br><br>А зачем Вам Linux?<br>