È sufficiente aggiungere regole iptables senza riavviare?

24

(Server Ubuntu) Sono in esecuzione

sudo iptables -A INPUT -s 127.0.0.1 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 4/sec -j ACCEPT

e poi

sudo iptables-save

Per ottenere la funzione delle regole di iptables, è sufficiente fare solo il comando sopra (senza riavviare iptables)?

iptables 
cewebugil
fonte

Risposte:

15

Per chiarezza, la iptables-savefunzione del comando non è quella di attivare le regole, il suo scopo è quello di salvare le regole per un uso successivo. Gli usi comuni sono:

iptables-save > iptables.dat

Questo salva le regole attuali in iptables.dat. È possibile ripristinare questo set di regole con il comando:

iptables-restore < iptables.dat

È possibile inserire questa riga rc.localper ripristinare le regole dopo il riavvio, poiché un riavvio cancella tutte le regole per impostazione predefinita.

Jonnyuser
fonte
7
E non dimenticare iptables-applyse vuoi stare calmo. (
Impostazione
13

@cewebugil Per quanto riguarda la tua domanda originale, è sufficiente applicare le regole IPTABLE. Nel momento in cui applichi la regola IPTABLE, diventa immediatamente attivo, ma non sopravviverà al riavvio.

Per poter sopravvivere a IPTABLES un riavvio nel tuo file di configurazione di rete / etc / network / interfaces (mi riferisco a un sistema Debian / Ubuntu) devi aggiungere un po 'dove
pre-up iptables-restore < firewall.txt

Controlla questa confusione di thread nell'impostazione di un firewall sul bridge e questo link http://www.debian-administration.org/articles/445

Due buone pratiche per salvarti da una serratura

1) È sempre una buona idea durante il test di IPTABLES avere una voce cron job che cancella le tue regole ogni 15 minuti circa, quindi se per caso applichi una regola sbagliata dopo 15 minuti tale regola viene eliminata e puoi accedere di nuovo. ti salverà da un possibile blocco se una regola IPTABLE era errata.

2) Questo può essere fatto anche da

 iptables-restore < iptables_rules; sleep 30; iptables-restore < clean_rules

L'idea è applicare le regole, attendere 30 secondi e applicare una serie di regole per consentire tutto l'accesso. Quando esegui questa riga, premi Invio un paio di volte e possono accadere due cose:

Le tue regole ti hanno bloccato (premendo Invio non viene visualizzato sullo schermo, quindi attendi che il tempo si esaurisca e verranno cancellate; Se le tue regole funzionano e puoi vedere le nuove linee sullo schermo, CTRL + C prima che il sonno finisca e tu sei bravo.

utente registrato
fonte
15
In alternativa puoi usare iptables-apply -t 30 iptables_rules. iptables-applyaspetterà che confermi positivamente le regole applicate e se dopo 30 secondi non rispondi, tornerà alle regole precedenti.
pepoluan,
@pepoluan grazie per queste informazioni non lo sapevo.
Utente registrato
sì, l'ho appena scoperto io stesso la scorsa settimana. ora non posso vivere senza di essa :-)
pepoluan
12

Sì, una volta che hai aggiunto una regola a iptables, questa diventa immediatamente attiva - ecco perché dovresti stare attento alle tue regole in quanto è possibile bloccarti.

user9517 supporta GoFundMonica
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.