reglas de iptables

Horst von Brand vonbrand en inf.utfsm.cl
Vie Ene 7 14:06:43 CLST 2005 

Victor Hugo dos Santos <victorhugops en cass.cl> dijo:
> Historiadores creen que en la fecha Fri, 07 Jan 2005 11:19:15 -0300
> "Rodrigo Henriquez M - Corporacion Linux S.A." 
>    <rodrigo en corporacionlinux.cl> escribio:

> [...]

> > > Busca en el archivo /proc/kcore
> > > Allí se guardan todas las reglas iptables y un monton de cachureos
> > > que usa el kernel.

> > Por ningun motivo hagas esto.
> > 
> > kcore _es_ la memoria virtual del nucleo.

> plop !!!
> se los datos de iptables están allá adentro (kcore), por que no deberías
> de hacerlo ????

Porque no tienes idea de como encontrarlos. iptables(8) si sabe (y hay
documentacion sobre los mecanismos "limpios" usados al efecto). Por lo
demas, basta que cambies a la siguiente serie del nucleo, y sonaste; o
cambias de arquitectura, y ya no encuentras nada. Etc.

> Se supone que al momento de ejecutar:

> iptables -L  
> este consulta kcore (según información de M. Oyarzo) y por que no podría
> yo hacer el mismo ???

Veamos...

  strace iptables -L > /dev/null 2> /tmp/lista
  grep kcore /tmp/lista

aca (FC2) dice que no.

> me acuerdo que un colega aca de la lista, hace un par de anos, cuando
> bind no guardaba el cache en disco,

Eso debe haber sido bind-0.0.0.1 o algo asi...

>                                     estaba trabajando con kcore, para
> sacar el cache de dns y guardarlo en disco de manera manual !!!

Ahhhhhy!

Eso es demencia pura. Por lo demas, kcore no tiene directamente informacion
respecto de los procesos (named(8) es un programa corriente).

> Lo que haria en este caso es solamente obtener algunas informaciones de
> kcore y no modificarlo (creo que mismo que yo quisiera modificarlo,
> tampoco podría)... Y en caso de una modificación, concordaría con
> ustedes, que seria un apocalipsis !!!

Y esta documentado como hacerlo! Hasta como escribir y cargar modulos
especiales!! Y como hacer que se comunique el modulo en el nucleo con el
modulo del caso en iptables!!!

> opiniones a respecto ???

Que esto sea Unix no significa que haya que buscar la forma mas enredada de
hacer las cosas (como creen las masas sin lavar), todo lo contrario.

<http://www.catb.org/~esr/writings/unix-koans/>
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución Linux