The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Корректировка вывода arptables-save в Debian Lenny
Суть проблемы: в Debian Lenny arptables-save генерирует данные, синтаксически и
семантически некорректные
с точки зрения arptables-restore.

Например, если в чистую таблицу filter добавить правило

   # arptables -A INPUT -s 10.128.0.100 -j DROP

а затем вызвать arptables-save, получим

   # arptables-save

   *filter
   :INPUT ACCEPT
   :OUTPUT ACCEPT
   :FORWARD ACCEPT
   -A INPUT -j DROP -i any -o any -s 10.128.0.100

Попытавшись скормить это arptables-restore, увидим

   arptables v0.0.3.3: Can't use -o with INPUT

   Try 'arptables -h' or 'arptables --help' for more information.
ERROR(line 5):

Но даже удаление -o any не сильно исправит дело. Потому что останется -i any. С
точки зрения arptables-restore,
да и arptables, any ни разу не ключевое слово, а просто имя интерфейса. 
Почему arptables-save считает иначе - непонятно.

Подводя итог: вывод arptables-save нужно фильтровать примерно таким образом:

   # arptables-save | sed -e 's/\(-[io]\) any *//g'
   *filter
   :INPUT ACCEPT
   :OUTPUT ACCEPT
   :FORWARD ACCEPT
   -A INPUT -j DROP -s 10.128.0.100
 
05.06.2009 , Автор: аноним
Ключи: arm, iptables, arptables, netfilter, linux, debian / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, myhand (?), 09:57, 05/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    правильное место этому - http://bugs.debian.org/
     
     
  • 2.2, аноним (?), 10:28, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Если я им все подобные баги начну постить, у них сервер ляжет :)

    Кроме того, не жду ничего хорошего от людей, которые грохнули init-скрипт для iptables и гордо считают это фичей.

     
     
  • 3.4, ононим (?), 10:52, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    что значит грохнули?
    у меня он очень даже работает. лижит в /etc/init.d/iptables
     
     
  • 4.6, аноним (?), 11:02, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >что значит грохнули?
    >у меня он очень даже работает. лижит в /etc/init.d/iptables

    Поделитесь травой плз!
    А то я тут понимаешь мучаюсь, с редхата его портирую...

    Вроде в Этче или Сарже он еще лежал в виде /usr/share/doc/iptables/examples/oldinitscript.gz, а потом его выпилили. В Ленни я не нашел.

     
  • 3.8, webbeans (?), 14:46, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Кто мешает поместить скрипт в /etc/network/if-pre-up.d/ следующего содержания:

    iptables-restore < ${YOUR_RULES_FILE}


    или вообще юзать что-то наподобие shorewall?

     
     
  • 4.9, аноним (?), 15:00, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Кто мешает поместить скрипт в /etc/network/if-pre-up.d/ следующего содержания:
    >iptables-restore < ${YOUR_RULES_FILE}

    Мне удобнее хороший init-скрипт. Гораздо удобнее. Так как он может выгружать/загружать модули, менять параметры sysctl, сохранять конфигурацию в любой момент (invoke-rc.d iptables save), закрывать (iptables panic) и открывать фаервол (iptables stop) по желанию. И все это через один простой интерфейс.

    В /etc/network/if-pre-up.d/ разумно поместить разве что
    invoke-rc.d iptables start

    >или вообще юзать что-то наподобие shorewall?

    Не люблю когда машина умничает :)

     
  • 4.10, Andrey Mitrofanov (?), 16:36, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Кто мешает поместить скрипт в

    Некоторым пользователям оно же ж надо http:/openforum/vsluhforumID3/42161.html#9 так, как надо _им_, и ни ментейнеры пакета в дисрибутиве, ни апстрим не могут этому помешать. Даже несмотря на то, что всё вокруг меняется, сменилось три-четыре релиза Debian -- но _надо_ именно http:/openforum/vsluhforumID1/79587.html#8 так, как оно надо и как оно было.

    И кто мы такие в конце концов, чтобы мешать счастью http:/openforum/vsluhforumID3/42161.html#6 людей?

    :-]

    Некоторые, правда уже [I]"не ждут ничего хорошего от людей"[/I]... :-/ А "счастье"-то где рядом. Ссылка выше.

    2PavelR: Выложил? Где? В дистрибутиве - когда? [Поддерживать там - будет кто?..]  Пользователи по несчастью -- страдают.

     
     
  • 5.11, аноним (?), 16:55, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Меж прочим человек правильно мыслит...

    Насчет проблем с тем что было в дебиане раньше - не знаю, не видел.
    Однако ж портировал аналогичный скрипт с RHEL, потестировал и остался доволен.
    Если еще кому-то, кроме меня, это нужно - могу выложить в виде пакетов.

    Аналогичным образом поступил с arptables. Только зря наверное. В отличие от RHEL'а в дебиане arptables кривой и страшный как моя смерть (что наглядно иллюстрируется сией заметкой).

    Насчет "не ждать от людей хорошего" - я уже неоднократно видел последствия употребления сильнодействующих веществ мейнтейнерами ключевых пакетов дебиана. Думаю, если запостить этот баг на их багтрекер, в лучшем случае они его проигнорируют, в худшем - грохнут весь пакет. И пофигу, что он кому-то нужен.

     
     
  • 6.12, PavelR (??), 17:12, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чож ждать, вот оно, забирайте, портированный редхат "service iptables":

    http://debian.nikolas.ru/debian/

     
     
  • 7.15, аноним (?), 17:18, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Чож ждать, вот оно, забирайте, портированный редхат "service iptables":
    >
    >http://debian.nikolas.ru/debian/

    Спс. На досуге посмотрю.

     
  • 7.20, аноним (?), 17:23, 06/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Чож ждать, вот оно, забирайте, портированный редхат "service iptables":
    >http://debian.nikolas.ru/debian/

    Посмотрел.
    Есть маленькое замечание, можно сказать стилистическое.

    В postinst скрипте вы суете ссылку на инит-скрипт с rcS.d с приоритетом 38. Однако в том же rcS.d инит-скрипт networking, поднимающий сеть, числится с приоритетом 14. Что в принципе может создать очень неприятный момент при загрузке, когда интерфейсы подняты, а фаервол еще не сконфигурирован. Мелочь, конечно... Но большая проблема обычно как раз и складывается из мелких.

    Совет: забить на update-rc.d, и сунуть в /etc/network/if-pre-up.d/ скриптик вида
    #!/bin/sh
    /etc/init.d/iptables start

    и не нужно будет никаких update-rc.d в postinst/postrm :)

     
  • 6.13, Andrey Mitrofanov (?), 17:13, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Насчет "не ждать от людей хорошего" - я уже неоднократно видел последствия
    >употребления сильнодействующих веществ мейнтейнерами ключевых пакетов дебиана.

    И продолжаете пользоваться. "Мыши плакали, кололись, но продолжали есть кактус" или плюём в колодец?

    >запостить этот баг на их багтрекер, в лучшем случае они его

    Вы полагаете, что OpenNET место получше для "выкладывания" пакетов-патчиков для?

     
     
  • 7.14, аноним (?), 17:17, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >И продолжаете пользоваться. "Мыши плакали, кололись, но продолжали есть кактус" или плюём в колодец?

    Ну, в дебиане ведь и много хорошего есть :)

    >Вы полагаете, что OpenNET место получше для "выкладывания" пакетов-патчиков для?

    Это не патч. Это debian way. Да, местами он проходит через задницу. Ну то тут поделать, если мейнтейнер - ...?

     
     
  • 8.16, Andrey Mitrofanov (?), 17:32, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Значит, в колодец Гм, извините, я пешком постою это _Ваш_ way Может, н... текст свёрнут, показать
     
     
  • 9.17, аноним (?), 17:45, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Единственно верный путь не подскажете Не суди по словам, суди по делам Учтя ре... текст свёрнут, показать
     
     
  • 10.18, pavlinux (ok), 01:59, 06/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вот пока вы тут с 09 57 до 17 45 флудили, какой Дебиан ху ый, можно было ст... текст свёрнут, показать
     
     
  • 11.19, аноним (?), 15:00, 06/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ога Тонкое наблюдение Вот представь каждому десятому или даже двадцатому по... текст свёрнут, показать
     
     
  • 12.25, pavlinux (ok), 04:36, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем Вам Linux ... текст свёрнут, показать
     
     
  • 13.26, аноним (?), 15:09, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Работать в нем Нет, работать в моем понимании - это не стричь фонтаны ... текст свёрнут, показать
     
     
  • 14.29, pavlinux (ok), 16:09, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    В нём нельзя работать, он работает за Вас, только надо один раз настроить ... текст свёрнут, показать
     
     
  • 15.30, Аноним (-), 16:13, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, и сам пирожки ест ... текст свёрнут, показать
     
  • 15.31, аноним (?), 20:25, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Неужели А как бы его так настроить, чтобы он сам писал инит-скрипты, грохнутые ... текст свёрнут, показать
     
     
  • 16.32, pavlinux (ok), 16:09, 09/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нейронная сеть и искусственный интеллект вам в помощь ... текст свёрнут, показать
     
  • 3.21, Одмин (?), 19:35, 06/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Если я им все подобные баги начну постить, у них сервер ляжет :)

    ну так сделай это. Вот потому что все забивают на написание багов мы имеем то что имеем. Я никогда не стеснялся багрепорты писать. Даже если не уверен что это баг всё равно пишу, разрабы разберуться что к чему.

     
     
  • 4.22, аноним (?), 21:44, 06/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Делай-не делай - толку никакого. Мейнтейнер arptables впал в нирвану в две тыщи лохматом году. С тех пор он ни на что не реагирует и ничем не занимается.

    Это конечно лучше, чем в случае с iptables - там мейнтейнер просто-таки профессиональный вредитель, принципиально уничтожающий все хорошее. Один libipt_psd.so чего стоит :(

     
  • 3.23, User294 (ok), 02:07, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Если я им все подобные баги начну постить, у них сервер ляжет :)

    Ничего страшного, поднимут и сделают выводы :).Подходов есть два - да, можно мыкаться с тем что есть, молча в тряпочку, а о том что у вас проблемы никто кроме вас возможно и не узнает.А можно багов понаписать.Что явно увеличивает шансы на то что проблема бузет изучена причастными и даже возможно, починена.

    Если вам нравится самопальное костылестроение - вам первый подход.А если нужна нормальная система которая работает без подстановки левых костылей и подпорочек, тогда второй.

     
     
  • 4.27, аноним (?), 15:11, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ничего страшного, поднимут и сделают выводы :).Подходов есть два - да, можно
    >мыкаться с тем что есть, молча в тряпочку, а о том
    >что у вас проблемы никто кроме вас возможно и не узнает.А
    >можно багов понаписать.Что явно увеличивает шансы на то что проблема бузет
    >изучена причастными и даже возможно, починена.
    >
    >Если вам нравится самопальное костылестроение - вам первый подход.А если нужна нормальная
    >система которая работает без подстановки левых костылей и подпорочек, тогда второй.

    Я уже четко и внятно объяснил, что мейнтейнер arptables в нирване. И вообще официальное сообщество положило на этот пакет большой-большой прибор.

     
     
  • 5.33, debianuser (?), 23:56, 10/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Так станьте сами мейнтрейнером
     
  • 3.24, Аноним (-), 02:40, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Если я им все подобные баги начну постить, у них сервер ляжет :)

    не ляжет, я проверял.

    > Кроме того, не жду ничего хорошего от людей, которые грохнули init-скрипт для iptables и гордо считают это фичей.

    видите ли в чём дело... в хорошем дистрибутиве все части системы должны быть совместимы между собой. если есть скрипт загружающий конфигурацию файрвола, то он должен быть совместим с hotplug, hal и udev. добится этой совместимости простым init скриптом который выполняется один раз при старте системы и никак не реагирует на подключение/отключение в процессе работы сетевых интерфейсов - невозможно. поэтому то что этот несовместимый с другими частями ОС скрипт грохнули - это правильно.

     
     
  • 4.28, аноним (?), 15:20, 07/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >не ляжет, я проверял.

    Знаете ли вы столько багов дебиана, сколько знаю я? Вряд ли. Так что проверить не могли :)

    >видите ли в чём дело... в хорошем дистрибутиве все части системы должны
    >быть совместимы между собой. если есть скрипт загружающий конфигурацию файрвола, то
    >он должен быть совместим с hotplug, hal и udev. добится этой
    >совместимости простым init скриптом который выполняется один раз при старте системы
    >и никак не реагирует на подключение/отключение в процессе работы сетевых интерфейсов
    >- невозможно. поэтому то что этот несовместимый с другими частями ОС
    >скрипт грохнули - это правильно.

    Простите, но ваши аргументы - детский лепет.

    Во-первых, сейчас в линуксе нет метода конфигурирования фаервола, учитывающего "hotplug, hal и udev". Сломать все и ничего не построить - пять баллов.
    Во-вторых, iptables глубоко наплевать, существует или нет интерфейс, описанный в его правилах. Нет интерфейса - значит правило для него просто не будет срабатывать.
    В-третьих, динамическое переконфигурирование при подъеме/опускании отдельных интерфейсов можно делать через pre-up и post-down в /etc/network/interfaces, но необходимости загружать базовую конфигурацию это ни разу не отменяет.

     

  • 1.3, Аноним (-), 10:39, 05/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему arp-то?
     
     
  • 2.5, аноним (?), 10:58, 05/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Почему arp-то?

    Помимо IP-фаервола iptables, в линухе есть ARP-фаервол arptables.
    И с ним тоже иногда надо работать :)

     

  • 1.7, daevy (?), 13:09, 05/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кто не вкурсе, еще есть ebtables :-)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру