Управление правилами IPset из MySQL

Тема в разделе "Администрирование серверов", создана пользователем QuZ, 4 апр 2012.

Модераторы: mefish, stooper
  1. QuZ

    QuZ Постоялец

    Регистр.:
    18 июл 2009
    Сообщения:
    76
    Симпатии:
    49
    Добрый день уважаемые форумчане. Возникла задача, не знаю, как лучше реализовать. В базе данных представлен список IP, которые должны быть открыты фаерволом (Дебиан 2.6)
    Данная база данных достаточно часто обновляется. Хотелось бы, чтобы фаервол отслеживал изменения, и при удалении записи из базы данных, удалял и правило для этого айпи на вход, и наоборот. При появлении айпишника - сразу передавалось бы правило с возможностью входа на сервер для данного айпишника.

    Почему база данных - с ней удобнее работать в моем случае. Данные собираются там из нескольких источников. SSH использовать не хочу для передачи этих данных напрямую.

    Как лучше организовать - не представляю. Как знаю, таким люди не страдают))

    Спасибо.
     
  2. fpinger

    fpinger

    Регистр.:
    11 май 2007
    Сообщения:
    253
    Симпатии:
    58
    QuZ, тогда проще в виде задач в базу ставить изменения и кроном (скажем через три минуты) их применять (если есть таковые) для правил фаервола. То есть должен быть не просто список IP, а действия с ними (добавить, удалить). К тому же можно будет в случае сброса выполнить правила за определённый период. Новое правило может отменять старое противоположное (признак актуальности правила). При перезагрузке системы применяются только актуальные правила, а далее новые через определённое время.
     
  3. QuZ

    QuZ Постоялец

    Регистр.:
    18 июл 2009
    Сообщения:
    76
    Симпатии:
    49
    Как вариант - не проблема. но по сути как подружить iptables с мускулом - не особо представляю. Вот тот камень предкновения. И надо будет подумать про целесобразность использования крона раз в 3-5ть секунд.
     
  4. fpinger

    fpinger

    Регистр.:
    11 май 2007
    Сообщения:
    253
    Симпатии:
    58
    Писать скрипт.
    А изменять iptables раз в 3-5 секунд ИМХО избыточная частота.
     
  5. QuZ

    QuZ Постоялец

    Регистр.:
    18 июл 2009
    Сообщения:
    76
    Симпатии:
    49
    Вот я о том-же... Но такая периодичность очень желаема, если нельзя сделать в онлайн режиме.