Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 2534 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Request: the "!" operator in iptables

MadHakish
I can't describe in words how incredibly important this operator is and I sit here scratching my head as to why it's not included as a function in the packet filter interface. This is IMHO one of the greatest features of iptables completely overlooked by astaro it appears. Why is this operator not programmed into the webadmin interface? C'mon guys, I wanted an IPTables firewall, what good is it if I can't use all it's features without crufty hacks to startup files and such things. (Which leads to poor integration with the webadmin front-end)

-Frustrated in MN [:S]   


This thread was automatically locked due to age.
Parents
  • 0
    and what is this "incredibly important" option offers which cannot be achieved now?  
  • 0 in reply to Vukasin
    Maybe "cannot be achieved" is an exagerration, but sometimes specifying the complement in rules is quite a mess....
      
  • 0 in reply to SecApp
    With a tidy ruleset it is not a problem. 
    I agree that the feature can make your life a lot easier but I do find the language in the initial posting a bit overdramatic. 
    People have been making rulesets quite sucessfully without the "!" for a while now.
    I think that the scratching of one's heads is ok, but not over the lack of the "incredibly important" operator but rather over one's poor ruleset writing style.    
  • 0 in reply to Vukasin
    I apologize for sounding like a crying baby and being overdramatic and all. 
    I was simply frustrated and this is one of many "features" available within the backend programs that has been neglected in webadmin. This is not the first time I've wanted this operator, and it will not be the last - it's simply frustrating to have a firewall capable of so much limited by it's "Webmin" interface. I'm tired of hand-writing IPTables rules, I've been doing it for too long whether it's IPTables, IPChains, IPF etc.

    In Astaro,  not having a central text file containing the rule-sets, and the lack of a "save" feature akin to redhat makes custom rule-sets a pain in the a** outside of webadmin. Would you not agree?

    It does make life a lot easier - and that's one of many goals of system administration  and automation - making things easier, thus being able to perform them faster, along with providing the rest of the iceburg for people who work with floating chunks of ice.

    What you deem important or not important is irrelevant to me, I am operating under a set of guidelines not within my control - it is in the best interest of my client and myself that I be able to efficiently implement rules, configuration changes, etc. that best fit the needs of my clients - whether it's cron running IPTables scripts at different times, multiple DHCP subnet declarations, or the "!" operator in the packet filter rules configuration.

    Would the "incredibly important" feature of rule-sets on time intervals receive similar replies? What if that person has a guidelines to put a firewall in place that require certain networks/ports/IP's not have access during certain times of the day? To that guy it is incredibly important because it's a requirement of his job, and his organization. To you it's just another feature who's end results can be accomplished "another way" regardless of the work and effort involved in the "other way"

    Basically I don't want to "make due" - that's why I paid for this product. It's supposed to save me time and ease the burden of administration.

    Basically if I were to re-phrase my initial post it would go as follows.
    "I've run into a number of situation where having the "!" operator available as an option for the rule-set configuration in packet filters would save me a lot of time, double-checking, log scanning etc.  Could someone kindly look into integrating this into the front-end so I don't have to "hack" a solution out for myself?"  

    If you doubt the importance of the "not" operator - I can give you some examples.   

    Padre: I fail to see what value if any your reply has outside of simply being critical and inflammatory, if you would like to discuss this matter outside of this forum you can e-mail me.     
Reply
  • 0 in reply to Vukasin
    I apologize for sounding like a crying baby and being overdramatic and all. 
    I was simply frustrated and this is one of many "features" available within the backend programs that has been neglected in webadmin. This is not the first time I've wanted this operator, and it will not be the last - it's simply frustrating to have a firewall capable of so much limited by it's "Webmin" interface. I'm tired of hand-writing IPTables rules, I've been doing it for too long whether it's IPTables, IPChains, IPF etc.

    In Astaro,  not having a central text file containing the rule-sets, and the lack of a "save" feature akin to redhat makes custom rule-sets a pain in the a** outside of webadmin. Would you not agree?

    It does make life a lot easier - and that's one of many goals of system administration  and automation - making things easier, thus being able to perform them faster, along with providing the rest of the iceburg for people who work with floating chunks of ice.

    What you deem important or not important is irrelevant to me, I am operating under a set of guidelines not within my control - it is in the best interest of my client and myself that I be able to efficiently implement rules, configuration changes, etc. that best fit the needs of my clients - whether it's cron running IPTables scripts at different times, multiple DHCP subnet declarations, or the "!" operator in the packet filter rules configuration.

    Would the "incredibly important" feature of rule-sets on time intervals receive similar replies? What if that person has a guidelines to put a firewall in place that require certain networks/ports/IP's not have access during certain times of the day? To that guy it is incredibly important because it's a requirement of his job, and his organization. To you it's just another feature who's end results can be accomplished "another way" regardless of the work and effort involved in the "other way"

    Basically I don't want to "make due" - that's why I paid for this product. It's supposed to save me time and ease the burden of administration.

    Basically if I were to re-phrase my initial post it would go as follows.
    "I've run into a number of situation where having the "!" operator available as an option for the rule-set configuration in packet filters would save me a lot of time, double-checking, log scanning etc.  Could someone kindly look into integrating this into the front-end so I don't have to "hack" a solution out for myself?"  

    If you doubt the importance of the "not" operator - I can give you some examples.   

    Padre: I fail to see what value if any your reply has outside of simply being critical and inflammatory, if you would like to discuss this matter outside of this forum you can e-mail me.     
Children
  • 0 in reply to MadHakish
    Or see you in a dark alley?

    RELAX! Point taken; I think you're right. P. was playing devil's advocate (which members of this board do from time to time), which is part of the great dialectical debate process that gets us closer to the truth of the matter...
       
  • 0 in reply to SecApp
    Sec, you are very astute.  [;)]

    None of that reply was directed your way Sec, I hope you realize. I simply posted a feature request and felt attacked not only on my choice of wording, but the fact that I would request such a feature at all. (After all, that's what this section is for eh?)

    E-mail, Dark Alley - makes no difference to me. [:)] 

    Regardless, I would still like to see the "!" operator included, or at least an advanced tab that would make use of some of the more advanced functions of IPTables - after all they exist for a reason.
    (Rule specific logging prefix's etc.)

    Even a dialog to allow manual rule entry - ie a form for which you could put a full iptables chain/rule entry as it would be entered from the command line.

    This would allow manual entry and save between restarts rules created on the fly. IPTables is a powerful tool and limiting it to it's most basic form of functionality does not do it justice.

    (Not a *BSD guy on the planet that would let a web interface come between them and their precious ipf options!) [;)]  
  • 0 in reply to MadHakish
    could someone elaborate on what the "!" operator does? 
  • 0 in reply to uncue75
    It's a not operator...
      
  • 0 in reply to uncue75
    My mistake, it's a modifier. It says "Not", or technically speaking (from the man page) "Inverts the sense of the option."

    This means it modifies parameters by inverting them. Some examples would be, port, src, dest, interface (in/out), fragment, tcp flags, etc.  are all inverted by adding a ! just before the definition for that parameter.

    I call it the NOT modifier.

    I did incorrectly refer to it as an operator.      

    (I feel like such a newb with stranger status, no stars, and only 20 posts..)
  • 0 in reply to MadHakish
    The stars don't mean squat; they are assigned by whoever whimsically decides to vote. I had 5 at one point, then somebody voted a "one" for me, adjusting it to three ("Who does this guy think he is!", I guess). Who gives a spit! It's like martial arts; the really good guys don't have to show off or run around the streets with their fourth degree belt draped over their shoulder...

    P.S. I'm not really good -yet...
    (but I don't suck, either)
         
  • 0 in reply to MadHakish
    I am familiar with that when used with the like this != for evaluation.  thanks for elaborating.


    Woo hoo!  you're up to 5 stars now! 
  • 0 in reply to uncue75
    I must be a 1337 h4x0r now..  

    The public assignment of stars is too funny.. [:)] 

    (I always keep my blackbelt on me - you never know when you'll run into a gang of ninja's who want to kidnap you and exploit your 1337 skillz for their own dastardly deeds..)