[must die]

tolll

RH-lokkit - это цепочка iptables, она заполняется в соответствии с указанным при установке уровнем безопасности. Чем именно - ищите в документации к своему дистрибутиву.
В /etc/sysconfig/iptables сохраняются правила с помощью команды iptables-save (почитайте об этом в руководстве, там все понятно).

[tolll]

must die

Цитата:

В /etc/sysconfig/iptables сохраняются правила с помощью команды iptables-save (почитайте об этом в руководстве, там все понятно).

понял, а вот при загрузке (если по дефолту всё оставить) системы правила тже берутся именно из этого файла? Почему спрашиваю, т.к. в мануале скзано тоже что "сохраняются командой....", но при загрузке системы они откуда то берутся? из этого файла? (если другие в rc.local не указаны)
И ещё вопрос , что такое там означает например INPUT ACCEPT - [0:0] - в скобочках что такое?

[must die]

tolll

Не знаю как там RH :-)
Но попробую предположить, что при изменении уровня безопасности, в этот файл вносятся изменения.
При старте системе правила загружаются из этого файла.

Зачем вам изучать синтаксис этого файла?
Просмотреть, текущую конфигурацию - iptables --list.
Внесли изменения, сохраните /etc/init.d/iptables save (ну или что-нибудь в этом духе).

[tolll]

must die

Цитата:

При старте системе правила загружаются из этого файла.

понятно, спасибо!

Цитата:

Зачем вам изучать синтаксис этого файла?

ну что бы понять как система в целом работает

[toll3]

Не подскажет ли кто ещё несколько моментов:
1. Есть набор допустимых ip адресов, который фигурирует в разных цепочках-таблицах. Нельзя ли его вогнать в сетс какой-н что бы потом просто по $var на него ссылаться?
2. Если вбить команду
iptables --list
в итоге таблицы выводятся нескоклько медленно что ли.... иногда вывод минут 5 может занимать в зависимости от навароченности таблицы. Так и должно быть?

Заранее спасибо!

[BuGfiX]

1. Если правила iptables указаны в обычном sh-скрипте - то никто не мешает Вам использовать переменные, например:

Код:

#!/bin/sh
LOCALNET="192.168.1.0/24"
IPT="/usr/sbin/iptables"

$IPT -A FORWARD -p tcp -s $LOCALNET --dport 80 -j ACCEPT

2. Вместо

Код:

iptables --list

используйте

Код:

iptables --list -n

,
все будет выводиться гораздо быстрее ;-)

[toll3]

BuGfiX

Цитата:

Если правила iptables указаны в обычном sh-скрипте - то никто не мешает Вам использовать переменные, например

в случае когда диапазон ip адресов вся сеть понятно, а вот если есть группа ip-шников из абсолютно разных подсетей, можно ли их как в одну переменную вогнать?

[BuGfiX]

Насколько я знаю, синтаксис iptables не позволяет задавать несколько source или destination адресов в одном правиле.