этим модулем никак

да, iptables_raw

Угу, понял, спасибо!

я тупо катаю /etc/iptables/rules.v4.j2 или /etc/sysconfig/iptables.j2 и мне это проще, и как показывает практика, получается гораздо более предсказуемо. а когда модули для iptables будут вменяемы - перейду на них.

ну и пишу туда всё что хочу. вполне идемпотентно.

Ок, посмотрю тоже в эту сторону. Пока только изучаю что к чему

а вообще iptables в ansible - это боль.

оно везде боль. Нормального управления firewall нигде не видел, каждый ждя себя пишет

я просто шаблоны использовать вынужден

оно везде боль. Нормального управления firewall нигде не видел, каждый ждя себя пишет

ну вот я тоже шаблонами всё что нужно сделал. кроме того чтобы при изменении конфигурации iptables не в тупую рестартить, а грамотно вставлять через insert новые правила и делать delete старым. но кажется проще модуль написать чем такое

ну вот я тоже шаблонами всё что нужно сделал. кроме того чтобы при изменении конфигурации iptables не в тупую рестартить, а грамотно вставлять через insert новые правила и делать delete старым. но кажется проще модуль написать чем такое

по хорошему надо писать модуль firewall, который будет универсально переводить правила в тот фаер, который используется сейчас. Но за него что-то никто не хочет браться

ответсвенность большая

вообще странно что RH это не сделала

они так последнее время на сетевые возможности напирают

ответсвенность большая

вопрос ответственности и сложности. Фаерволлов очень много и все они по-разному устроены. Сильно по-разному

ну вот я тоже шаблонами всё что нужно сделал. кроме того чтобы при изменении конфигурации iptables не в тупую рестартить, а грамотно вставлять через insert новые правила и делать delete старым. но кажется проще модуль написать чем такое

а я csf пользуюсь - он нормально правилами через конфиг-файлы рулит

вопрос ответственности и сложности. Фаерволлов очень много и все они по-разному устроены. Сильно по-разному

ну вот лично я думаю, что если бы RH написали бы что-то дельное и нормальное, автоматизируемое и рабочее, то через годик-два оно бы вытеснило ufw, firewalld, fireqos и прочие костыли в мозг. (и чего б не написать, казалось бы?)

ну вот лично я думаю, что если бы RH написали бы что-то дельное и нормальное, автоматизируемое и рабочее, то через годик-два оно бы вытеснило ufw, firewalld, fireqos и прочие костыли в мозг. (и чего б не написать, казалось бы?)

ну вы попробуйте например, описать в рамках одного языка/спецификации управление для: - iptables - ipfw - pf - juniper ACL - cisco ACL

ну хотя бы для них

врятли это сложно.

ибо манипуляция будет над известной и конечной структурой пакета

ибо манипуляция будет над известной и конечной структурой пакета

проблема в том, что есть специфика. Например в linux есть ipset и специфичные типы действий (tarpit)

qos - опять же

qos не фаервол.

его можно учитывать в фаерволе но вообще это правила для другой подсистемы.

по идее - да. так же, как ACL - это вообще не фаерволл

а фаерволл - это access-group policy

ну вы попробуйте например, описать в рамках одного языка/спецификации управление для: - iptables - ipfw - pf - juniper ACL - cisco ACL

cisco/juniper acl работают на L3/4 OSI а у linux уже есть match uid, то есть, тут OSI - единственное описание.

там огромное количество подводных камней в реализации

можно реализовать acl модуль для cisco/juniper и он вполне логичный будет, но netfilter сюда не приплести никак.

ну тут вопрос в том, делать ли универсальный интерфейс (и тогда придется забить на специфику и оптимизацию) или делать специфичные интерфейсы для основных типов обработки соединений.

и в любом случае это большая ответственность

привет

в ансибле можно пароль на ssh вводить не в конфиги, а после запуска команды ansible-playbook в скрытом виде?

там есть опция (-k или типа того), но почему-то она не принемается

ключ не вариант? я использовал пароль из vault

ключ не вариант? я использовал пароль из vault

какой ключ?

я просто не хочу пароли по конфиг-файлам разбрасывать

vars_prompt: - name: "username" prompt: "Your username" private: no - name: "pass" prompt: "Your password" private: yes vars: provider: host: "{{ ansible_host }}" username: "{{ username }}" password: "{{ pass }}"

готовый пример

вот у меня щас так

но я не хочу что бы пароль был в конфиге, это не секурно

это ваще отстой

а где тут пароль в конфиге?)

а где эти переменные всплывут?

в момент запуска меня спросят?

ага

http://docs.ansible.com/ansible/playbooks_prompts.html

о, благодарю

а можно ли как-нибудь задать в when регексп? хочется выполнять таск, только если item начинается с определённого паттерна.

а можно ли как-нибудь задать в when регексп? хочется выполнять таск, только если item начинается с определённого паттерна.

можно в 2 этапа: сначала регексп и регистри а потом проверить регистри when-ом

аа там сложнее, не дочитал

отбой, нашлись решения через фильтры

https://docs.ansible.com/ansible/playbooks_tests.html#testing-strings

- name: "Add ssh user keys" authorized_key: user={{ item.name }} key="{{ item.key }}" with_items: - name: "{{ domain | replace('.', '') }}" key: "{{ lookup('$HOME/.ssh/webstudio/{{ domain }}.pub', 'user1.pub') }}"

как добавить в key переменную

просто я уже объявил скобки {{

не могу же я еще раз внутри скобок написать еще скобки

?

?

lookup('$HOME/.ssh/webstudio/'~ domain ~'.pub'

let me google for you: "ansible escape curly braces"

спасибо @uncle_gaara

@chebotarevp спасибо сейчас попробую

2.2.2 зарелизили. Но ченджлога внятного нет. https://groups.google.com/forum/#!topic/ansible-announce/XBEQRcwIf5U

ERROR: S client not available

2.3.0 перешел в рц2

Но там опять же не богато на изменения...

Ну просто типа фигакс вот мы чето тут накомитили, а что поменялось - сами разбирайтесь.

Ну как то неповзрослому. Как разбираться что изменилось- непонятно.

То ли дело - Stonic ))

Меня вот еще с недавних пор стало дико бесить что они доку апдудейт держат а там например именнование опций для модуля меняется. Это вообще треш.

То ли дело - Stonic ))

Толи дело солт

А по-моему как раз понятно. Берешь все свои плейбуки прогоняешь. Смотришь что отвалилось. Там где отвалилось - это и есть changelog

ну тут вопрос в том, делать ли универсальный интерфейс (и тогда придется забить на специфику и оптимизацию) или делать специфичные интерфейсы для основных типов обработки соединений.

не могу понять, почему в один ряд ставится активное сетевое оборудование и end-point хосты на ОС linux

потому что нет разницы

кроме спец. чипов поддержки разного

но интерфейсно нет разницы

нет, я Вас не понимаю. в ansible сделали два разных модуля, например, для юзеров: http://docs.ansible.com/ansible/mysql_user_module.html http://docs.ansible.com/ansible/user_module.html и я не понимаю, почему на Ваш взгляд, управление ACL на cisco/juniper и управление netfilter в linux должно быть одним модулем ansible, когда это два отдельных класса сетевых устройств у каждого из которых своя специфика.

противоречит принципу s.o.l.i.d: Неоправданная сложность: проект включает инфраструктуру, применение которой не влечёт непосредственной выгоды.

наверное поэтому в ansible делают вагон мелких модулей которые отлично работают и друг на друга не влияют.

Добрый день. При попытке запустить: ansible all -m ping --ask-pass, выдаёт ошибку Unexpected Exception: 'module' object has no attribute 'HAVE_DECL_MPZ_POWM_SEC'

Python 2.6

а ось и версию ансибла сами угадывайте, жалкие неудачники

Спасибо, разобрался сам

?

Разобрался, пиши в чём проблема

O_o

вангую центось. на ней постоянно эти тупые проблемы с pycrypto

/usr/lib64/python2.6/site-packages/Crypto/Util/number.py

Закоментил строчку #if _fastmath is not None and not _fastmath.HAVE_DECL_MPZ_POWM_SEC: # _warn("Not using mpz_powm_sec. You should rebuild using libgmp >= 5 to avoid timing attack vulnerability.", PowmInsecureWarning)

как то так

O_o

да не разобрался он. нагуглил stackoverflow и пошел закомментировал строчку в site-pcackages

именно

охуенно "разобрался", чо

?

Ну пиздец тебе Ванга теперь!