Thomas Guettler schrieb:
Hallo,
Aus meiner Sicht ist das Tool "iptables-save" sinnlos. Bei komplexen iptables Regeln wird man sicherlich mit Variablen arbeiten.
Für eine grundlegende Konfiguration setze ich auch ein separates Skript ein, das aber nur bei Konfigurationsänderungen benutzt wird.
Für den laufenden Betrieb ist iptables-save ganz brauchbar.
Zum Beispiel $ETH_LAN $ETH_INET $ETH_DMZ (Intern, Internet, Demilitarisierte Zone)
Bei der Methode 1 (Setzen der Regeln per Shell-Script) ist es kein Problem, wenn sie die IP-Adresse von ETH_LAN ändert.
Wie häufig ändert sich denn die LAN-IP der Firewall? Das ist kein praktisches Problem.
Bei iptables-save hat man ein Problem. In der abgespeicherten Datei sind keine Variablennamen sondern die IP-Adressen und die müsste man durch umständliches Ersetzen ändern.
Beim der öffentlichen IP, welche wahrscheinlich die einzige sich ständig verändernde IP (dynIP) ist, kann man auch auf das Interface statt auf die IP matchen und muß damit nicht bei jeder Einwahl die Regeln ändern.
Ciao, Rico