Как сделать использование iptables проще за счет комментирования

Программист, который отказывается комментировать свой код, рискует получить пинок под зад в первый же день своей работы. Почему же тогда системный администратор, пишущий правила для iptables, которые имеют еще более запутанный синтаксис и логику, легко обходится без комментариев?

Сисадмин Скотт Миллер поделился хорошей идеей, как сделать работу с iptables проще — нужно начать комментировать каждую строку конфигурационного файла. Мало кто знает о такой возможности, но она есть. Этот файервол допускает C-подобный синтаксис для комментариев:

/* А это C-подобный синтаксис для комментариев,
который будет работать и в iptables */

Господин Миллер рекомендует снабжать каждое добавляемое правило опцией --comment. Например:

#iptables -A INPUT -p tcp -m tcp --dport 22 -m comment --comment "Разрешим доступ к SSH всем желающим" -j ACCEPT


В файл с правилами будет добавлено:

sudo iptables -L

ACCEPT tcp -- anywhere anywhere tcp dpt:ssh /* allow SSH to this host from anywhere */

Что дает комментирование правил для iptables:

• если правил становится много, комментарии станут единственным способом разобраться что к чему;
• иногда правила вносятся автоматически другими программами и без комментариев невозможно выявить причину проблем, если что-то вдруг пойдет не так;
• если вас турнут с работы, новый сисадмин легко разберется в вашем конфигурационном файле;
• и другие плюсы.