Сколько времени занимает, чтобы правило iptables применялось?
Планы технического обслуживания в SSMS хранятся как пакеты SSIS, не scriptable - также. Но можно сохранить их, поскольку файлы и в теории импортируют их в экземпляр SQL Server:
Однако я думаю, что намного легче, просто пишут сценарий SQL, который пакет выполняет вместо этого, как упомянуто squillman.
iptables правила сразу вступают в силу.
Так как этот сценарий добавляет, может быть правило перед этим, которое говорит для автоматического разрешения хостов, которые Вы пытаетесь заблокировать. iptables читает правила, от начала до конца, и повреждения, как только он находит соответствие (поэтому, если у Вас было что-то, что сказало, 'позволяют badhostx' и затем следующая строка была 'отбрасыванием badhostx', он никогда не будет отбрасывать, так как правило было уже подобрано для того хоста.
Если Вы используете,-A в сценарии можно хотеть сбросить таблицы прежде (iptables - сброс), гарантировать, что правила состоят точно в том, поскольку Вы применяете их в сценарии (но также и удостоверьтесь, что у Вас есть ВСЕ правила в том сценарии).
Другая опция вместо того, чтобы запустить тот скрипт состоит в том, чтобы получить правила, Вы хотите работать, затем или "обслужите iptables, сохраняют" или "/etc/init.d/iptables, сохраняют".Надеюсь, это поможет.
iptables правила сразу вступают в силу. Поскольку Ваш сценарий Добавляет (-A) к ВХОДНЫМ И ВЫХОДНЫМ цепочкам, Ваши правила добавляются в конец тех цепочек. Если у Вас будут другие правила завершения, которые предшествуют этим правилам, то они вступят в силу (и более поздние правила не будут).
Например, очень распространено иметь a -m state --state ESTABLISHED,RELATED -j ACCEPT управляйте рано в цепочках ВВОДА/ВЫВОДА, и то правило вступит в силу на приоритете к любым правилам, которые появляются после него. То правило позволяет установленным соединениям продолжаться, даже если они к/от IP-адресам, которые Вы добавили к своему брандмауэру с помощью Вашего сценария.
Если у Вас действительно есть УСТАНОВЛЕННОЕ, СВЯЗАННОЕ правило в Ваших цепочках ВВОДА/ВЫВОДА (или некоторое другое правило, которое переопределяет более поздние правила), то необходимо будет или признать, что новые правила, многие не сразу вступают в силу, или у Вас может быть свой сценарий, вставляют правила ОТБРАСЫВАНИЯ IP-адреса перед УСТАНОВЛЕННЫМ, СВЯЗАННЫМ правилом. Это может быть выполнено путем изменения сценария, чтобы Вставить (-I), а не Добавить (-A) правила ОТБРАСЫВАНИЯ IP-адреса, например.
iptables -I INPUT -s $1 -j DROP
iptables -I OUTPUT -d $1 -j DROP
/etc/dropped_hostsфайл. Если Вы изменяетесь, как следующие две строки работают, необходимо, вероятно, также измениться, как первая строка работает для соответствия им. – Ladadadada 1 November 2010 в 15:07