Wiem, że w większości dystrybucji znajdują się skrypty ustawiające reguły Firewalla np. /etc/init.d/iptables.
Korzystają one z plików konfiguracyjnych, które nie są zwykłymi skryptami.
Spotkałem się z metodą tworzenia reguł Firewalla w pliku - w formie skryptu i uruchamianie go za pomocą /etc/rc.local - czy to jest lepsze, czy gorsze rozwiązanie?
W wielu systemach, które widziałem rzeczywiście reguły Firewalla były ustawiane przez skrypt, który odpalany był z /etc/rc.local
Wstyd się przyznać, też tak kiedyś robiłem.
Natomiast jest to NIEBEZPIECZNA metoda!!!!
Dlaczego?
Otóż większość dystrybucji w momencie startu uruchamia w odpowiedniej kolejności skrypty w /etc/init.d,
m. in. uruchamiana jest tam sieć (podnoszone zostają interfejsy sieciowe).
Skrypt "iptables", odpowiedzialny za Firewalla, uruchamiany jest wcześniej, czyli kiedy sieć jest jeszcze niedostępna. Dzięki temu nie ma nawet ani sekundy, gdy sieć i jakiekolwiek usługi sieciowe nie są chronione za pomocą Firewalla.
Jeśli korzystamy z ustawiania reguł z pliku /etc/rc.local, który to uruchamia się jako ostatni, podczas startu systemu jest czas, w którym mamy aktywną sieć i usługi i nie jesteśmy chronieni przez Firewall. To jest niebezpieczne! Dlatego tej metody nie zaleca się.
