iptablesを設定するのに2通の流儀があるようなのですが、どちらがベストプラクティスでしょうか?
メリット・デメリットを教えてください。
①/etc/sysconfig/iptables を直接編集して/etc/rc.d/init.d/iptables restart
例:
http://www.atmarkit.co.jp/flinux/rensai/buildlamp/lamp_03/03_1.html
②コマンドをシェルスクリプトで用意して、それを実行してから、
iptables-save -c >/etc/sysconfig/iptables
/etc/init.d/iptables restart
例:
http://lab.bizreach.co.jp/2012/05/post-c0e8.html
コメント(2件)
http://www.atmarkit.co.jp/flinux/rensai/iptables04/iptables03g.html
・記述の順番を自由にできる
・IPアドレスの値を動的に取得できる
・ループが書ける
・条件分岐できる
・サブルーチン化できる
などですかね。
スクリプトにするメリットは、DQNEO さんの認識で正しいと思いますが、Linux マシンを「サーバ」として使っているなら、そこまで複雑な iptables の設定をしないかなぁ、と。ルータのような役割をもたせる場合だと、スクリプト化した方が、とは思います。
どっちみち、稼働中の iptables の状態を確認するのは、iptables -L -v とかで見ることになる(スクリプトを読んでも、それは実際の稼働状況を見ていることにはならない)ので、あくまでも、複雑な事をやりたい時に、スクリプト化しておくと何かと便利、という感じだと思います。