Firewall und Config-Prozessierung

  • Ich habe mal zwei allgemeine Fragen zu iMSCP:


    1) Ich habe verschiedene Listener angelegt, die auch ordnungsgemäß arbeiten. Um einen Funktionstest des Listeners zu machen, habe ich bislang immer imscp-reconfigure aufgerufen, was jedoch dazu führt, dass sämtliche Services neu gestartet werden und generell so ziemlich alles neu prozessiert wird. Gibt es da irgendwie auch einen schnelleren Weg? Also grundsätzlich ist mir klar, dass es viele Abhängigkeiten gibt, aber wenn ich z.B. lediglich in der dovecot.conf eine neue Zeile per Listener hinzufügen möchte, dann würde es mir an dieser Stelle reichen, einfach nur die Cfg zu prozessieren.


    2) Ich habe für IPv4 und IPv6 via iptables eine Firewall konfiguriert, die relativ strikt den Datenverkehr in beide Richtungen überwacht. Wenn ich die Firewall (neu) starte, dann werden zuerst mit iptables -F alle Regeln entfernt. Das hat natürlich Auswirkungen auf das Traffic-Counting von imscp. Ich habe daher, am Ende des Firewall-Scriptes, ein "/etc/init.d/imscp_traffic restart" eingefügt und vermute, dass es so auch funktionieren wird. Ist das so der richtige Weg oder sollte man Firewall-Regeln in imscp auf einem anderem Wege konfigurieren (den ich bislang nicht kenne)?


    Danke im voraus.

  • 1) Ich habe verschiedene Listener angelegt, die auch ordnungsgemäß arbeiten. Um einen Funktionstest des Listeners zu machen, habe ich bislang immer imscp-reconfigure aufgerufen, was jedoch dazu führt, dass sämtliche Services neu gestartet werden und generell so ziemlich alles neu prozessiert wird. Gibt es da irgendwie auch einen schnelleren Weg? Also grundsätzlich ist mir klar, dass es viele Abhängigkeiten gibt, aber wenn ich z.B. lediglich in der dovecot.conf eine neue Zeile per Listener hinzufügen möchte, dann würde es mir an dieser Stelle reichen, einfach nur die Cfg zu prozessieren.

    At this time, there are no ways to target only some parts of the installer. This is by design. This issue will be solved in version 2.0.0 when all tasks will be implemented through event listeners.

    2) Ich habe für IPv4 und IPv6 via iptables eine Firewall konfiguriert, die relativ strikt den Datenverkehr in beide Richtungen überwacht. Wenn ich die Firewall (neu) starte, dann werden zuerst mit iptables -F alle Regeln entfernt. Das hat natürlich Auswirkungen auf das Traffic-Counting von imscp. Ich habe daher, am Ende des Firewall-Scriptes, ein "/etc/init.d/imscp_traffic restart" eingefügt und vermute, dass es so auch funktionieren wird. Ist das so der richtige Weg oder sollte man Firewall-Regeln in imscp auf einem anderem Wege konfigurieren (den ich bislang nicht kenne)?

    In your firewall starter script, you should be able to target your own rules, without touch i-MSCP ruleset. Look at how fail2ban or i-MSCP traffic script handle that case ;) However if you're not confortable with iptables, best is to restart the imscp_traffic service at end of your script as you suggested. This should not pose any problem.


    BTW: You shouldn't restart the imscp_traffic service through the sysvinit script /etc/init.d/imscp_traffic restart. Instead, you should make use of the service(8) command: service imscp_traffic restart ;)

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206

  • 1) Ok. I'm fine with it. Just wanted to make sure, there's no other way I've overseen so far.
    2) I'm familiar with iptables, but I didn't use cutom-named rules in the past. I'm gonna have a closer look at it. However, in fact I was going exactly that way so far you proposed: just restarted imscp_traffic subsequently. To be honest: I'm old-fashioned and like using sysvinit :-) Anyway, it wouldn't be a big thing to migrate it :-)


    Ok, questions answered. Thank you!

  • To be honest: I'm old-fashioned and like using sysvinit Anyway, it wouldn't be a big thing to migrate it

    To resume, there are good reasons to not invoke /etc/init.d/* scripts directly, even if under Debian, there are hooks taking control to do the right things (invoking systemctl when needed). ;) Now, if you prefer sysvinit (init freedom), you can go with Devuan Jessie which is also supported by i-MSCP ;)

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206