Woodyまでは、/etc/init.d/iptablesがあり、サービスとして起動していたが、Sargeからはなくなっていた。Sargeのときは起動スクリプトを作って対応していたが、面倒なので、Etchからは/etc/network/if-up.dに直接スクリプトを置いていた。iptablesのスクリプトでdomain nameを使っているので、エラーになって/etc/network/pre-upに置けないことや、インターフェースごとに実行されるので、eth1が起動するまではエラーになることが気になっていたので、今回eth1のオプションスクリプトに変更した。
/etc/network/interfaces
>iface eth1 inet dhcp
> pre-up /path/iptables-down
> post-up /path/iptables-up
iptables-downは、すべてDROPのスクリプト
iptables-upが、パケットフィルタリングなどのスクリプト
iptablesの起動
lenny
コメント