4.3.9. lms-makeiptables, lms-makeipchains
Para skryptów służących do generowania plików zawierających reguły firewalla. Do utworzonego pliku możesz dołączyć inne wcześniej utworzone pliki, a w końcu nadać mu odpowiednie uprawnienia. Skrypty nie uruchamiają wygenerowanych plików.
Konfigurację dla tych skryptów możesz ustalić w pliku lms.ini w sekcji [iptables] (i odpowiednio [ipchains]). Oba skrypty posiadają te same opcje:
- networks
Lista nazw sieci (oddzielonych spacjami), które mają być uwzględnione podczas generowania pliku firewalla. Jeśli nie ustawiono, zostanie stworzony konfig dla wszystkich sieci. Przykład: networks = public-custa public-custb
- iptables_binary (ipchains_binary)
Lokalizacja programu iptables (ipchains). Domyślnie: /usr/sbin/iptables (/usr/sbin/ipchains) Przykład: iptables_binary = /usr/local/sbin/iptables
- script_file
Plik, do którego zapisujemy reguły firewalla. Domyślnie: /etc/rc.d/rc.masq Przykład: script_file = /etc/rc.d/rc.firewall
- pre_script
Plik wykonywany PO wyczyszczeniu regułek, ale PRZED ustawieniem nowych. Domyślnie: niezdefiniowany. Przykład: pre_script = /etc/rc.d/rc.masq-pre
- post_script
Plik wykonywany PO ustawieniu regułek. Domyślnie: niezdefiniowany. Przykład: post_script = /etc/rc.d/rc.masq-post
- forward_to
Lista sieci, dla których włączamy forwarding. Możliwe wartości: „” - pełny forward, „dowolny ciąg” - wyłącz forward, „siec1 siec2” - lista sieci z włączonym forwardingiem. Domyślnie: pełny forward. Przykład: forward_to = public-custa public-custb
- script_owneruid
UID właściciela pliku. Domyślnie: 0 (root). Przykład: script_owneruid = 0
- script_ownergid
GID właściciela pliku. Domyślnie: 0 (root). Przykład: script_ownergid = 0
- script_permission
Uprawnienia pliku skryptu. Domyślnie: 700 (rwx——). Przykład: script_permission = 700
- snat_address
Adres SNAT. Jeśli nie ustawiono, dla hostów z adresami publicznymi będzie użyte „-j MASQUERADE”. Jeśli ustawiono zostanie użyte „-j SNAT –to xxx.xxx.xxx.xxx”. Dotyczy lms-makeiptables. Domyślnie: nie ustawiony. Przykład: snat_address = 123.123.123.123
- tcp_redirect_ports (udp_redirect_ports)
Konfiguracja przekierowań w formie port_źródłowy:port_docelowy dla przekierowań na lokalną maszynę dla połączeń wychodzących. Dotyczy lms-makeipchains. Domyślnie: nie ustawione. Przykład: tcp_redirect_ports = 80:3128 25:25