Jak mogę sprawdzić, czy reguła iptables już istnieje?

Muszę dodać regułę do iptables, aby blokować połączenia z portem TCP z Internetu.

Ponieważ mój skrypt może być wywoływany wiele razy i nie ma skryptu, który mógłby usunąć regułę, chcę sprawdzić, czy reguła iptables już istnieje przed wstawieniem - w przeciwnym razie w łańcuchu INPUT będzie wiele reguł dup.

Jak mogę sprawdzić, czy reguła iptables już istnieje?

W -C --checknajnowszych wersjach iptables pojawiła się nowa opcja.

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
iptables: Bad rule (does a matching rule exist in that chain?).
# echo $?
1

# iptables -A INPUT -p tcp --dport 8080 --jump ACCEPT

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
# echo $?
0

W przypadku starszych wersji iptables skorzystałbym z sugestii Garretta:

# iptables-save | grep -- "-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT"

Nowa -Copcja nie jest satysfakcjonująca, ponieważ jest otwarta na warunki wyścigu od momentu sprawdzenia do czasu użycia (TOCTTOU). Jeśli dwa procesy spróbują dodać tę samą regułę mniej więcej w tym samym czasie, -Cnie ochronią ich przed dwukrotnym dodaniem.

Tak więc to naprawdę nie jest lepsze niż greprozwiązanie. Dokładne zadanie przetwarzania tekstu na wyjściu iptables-savemoże działać równie niezawodnie -C, ponieważ dane wyjściowe są wiarygodną migawką stanu tabel.

Potrzebna jest --ensureopcja, która atomowo sprawdza i dodaje regułę tylko wtedy, gdy jeszcze nie istnieje. Ponadto byłoby miło, gdyby reguła została przeniesiona do prawidłowej pozycji, do której wstawiono by nową regułę, gdyby jeszcze nie istniała ( --ensure-move). Na przykład, jeśli iptables -I 1zostanie użyty do stworzenia reguły na szczycie łańcucha, ale reguła ta istnieje już na siódmej pozycji, wówczas istniejąca reguła powinna przejść na pierwszą pozycję.

Myślę, że bez tych funkcji możliwe jest obejście pętli skryptu powłoki w oparciu o ten pseudo kod:

while true ; do
  # delete all copies of the rule first

  while copies_of_rule_exist ; do
    iptables -D $RULE
  done

  # now try to add the rule

  iptables -A $RULE # or -I 

  # At this point there may be duplicates due to races.
  # Bail out of loop if there is exactly one, otherwise
  # start again.
  if exactly_one_copy_of_rule_exists ; then
    break;
  fi
done

Ten kod może się kręcić; nie gwarantuje to, że dwóch lub więcej zawodników wyląduje w określonej liczbie iteracji. Aby to zrobić, można dodać kilka losowych snów wykładniczych.

Może się to wydawać nieco wstecz, ale działa dla mnie - najpierw spróbuj usunąć regułę.

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP;

Powinieneś otrzymać wiadomość podobną do:

iptables: Zła reguła (czy istnieje pasująca reguła w tym łańcuchu?)

Następnie po prostu dodaj swoją regułę jak zwykle:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP;

Po prostu wymień i wyszukaj?

iptables --list | grep $ip

... lub jednak masz określoną regułę. Jeśli grep -qgo użyjesz, nic nie wyświetli i możesz po prostu sprawdzić wartość zwracaną za pomocą$?

Co powiesz na pierwsze dodanie, a następnie usunięcie duplikatów, jak opisano w https://serverfault.com/questions/628590/duplicate-iptable-rules . Wydaje się, że najłatwiejsze (dla linii sąsiednich)

iptables-save | uniq | iptables-restore

Aby uniknąć powielania reguł ze skryptu, dodaj poniższy wiersz.

iptables -C -INPUT -p tcp --dport 8080 --jump ACCEPT || iptables -A -INPUT -p tcp --dport 8080 --jump ACCEPT

Pierwszy raz, gdy uruchomione zostanie powyższe polecenie, obserwujemy poniższy komunikat

iptables: Zła reguła (czy istnieje pasująca reguła w tym łańcuchu?).

To jest tylko informacja. Ale druga połowa polecenia zapewni dodanie reguły.