Czy wystarczy dodać reguły iptables bez restartu?


24

(Serwer Ubuntu) Działam

sudo iptables -A INPUT -s 127.0.0.1 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 4/sec -j ACCEPT

i wtedy

sudo iptables-save

Aby uzyskać funkcję reguł iptables, czy wystarczy wykonać tylko powyższą komendę (bez restartowania iptables)?

Odpowiedzi:


15

Dla jasności funkcja iptables-savepolecenia nie aktywuje reguł, jego celem jest zapisanie reguł do późniejszego użycia. Typowe zastosowania to:

iptables-save > iptables.dat

Zapisuje to obecne reguły iptables.dat. Możesz przywrócić ten zestaw reguł za pomocą polecenia:

iptables-restore < iptables.dat

Możesz wstawić ten wiersz, rc.localaby przywrócić reguły po ponownym uruchomieniu, ponieważ ponowne uruchomienie domyślnie usuwa wszystkie reguły.


7
I nie zapomnij o tym, iptables-applyczy chcesz zachować spokój. (Domyślnie 10 sekund)
gertas

13

@cewebugil O ile twoje oryginalne pytanie jest wystarczające, aby zastosować reguły IPTABLE, z chwilą zastosowania reguły IPTABLE natychmiast staje się ona aktywna, ale nie przetrwa ponownego uruchomienia.

Aby przetrwać IPTABLES, uruchom ponownie komputer w pliku konfiguracji sieci / etc / network / interfaces (mam na myśli system Debian / Ubuntu), musisz dodać
pre-up iptables-restore < firewall.txt

Sprawdź to zamieszanie w wątku podczas konfigurowania zapory ogniowej na moście i ten link http://www.debian-administration.org/articles/445

Dwie dobre praktyki, aby uchronić się przed zamkiem

1) Podczas testowania IPTABLES zawsze dobrze jest mieć pozycję zadania cron, która opróżnia Twoje reguły co około 15 minut, więc jeśli przypadkiem zastosujesz niewłaściwą regułę po 15 minutach, reguła ta zostanie usunięta i możesz zalogować się ponownie. uratuje cię przed możliwym zablokowaniem, jeśli jakaś reguła IPTABLE była nieprawidłowa.

2) Można to również zrobić przez

 iptables-restore < iptables_rules; sleep 30; iptables-restore < clean_rules

Chodzi o zastosowanie reguł, odczekaj 30 sekund i zastosuj zestaw reguł, aby umożliwić wszystkim dostęp. Po uruchomieniu tego wiersza naciśnij kilka razy klawisz Enter, aby zdarzyć się dwie rzeczy:

Twoje reguły Cię zablokowały (naciśnięcie Enter nie wyświetla się na ekranie, więc poczekaj, aż skończy się, a zostaną usunięte; Jeśli twoje reguły działają i możesz zobaczyć nowe linie na ekranie, CTRL + C przed końcem snu i jesteś dobry.


15
Możesz alternatywnie użyć iptables-apply -t 30 iptables_rules. iptables-applybędzie czekać, aż pozytywnie potwierdzisz zastosowane reguły, a jeśli po 30 sekundach nie odpowiesz, nastąpi powrót do poprzednich zasad.
pepoluan

@Pepoluan dziękuję za tę informację, nie wiedziałem o tym.
Zarejestrowany użytkownik

tak, właśnie się o tym dowiedziałem w zeszłym tygodniu. teraz nie mogę bez niego żyć :-)
pepoluan

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.