iptables на рабочем столе
У меня есть правила iptables и политика, которую я хочу применить к своему рабочему столу. Где файл конфигурации, который сделает эти изменения постоянными?
Есть ли проблемы с использованием iptables и NetworkManager?
2 ответа
NetworkManager не имеет ничего общего с iptables, хотя вы можете столкнуться с проблемами, если используете другое программное обеспечение для брандмауэра, например ufw. Набор правил по умолчанию, применяемый iptables-apply, это /etc/network/iptables, поэтому давайте использовать его.
Файл правил выглядит следующим образом:
*FILTER
# filter rules here, example below:
# Reject incoming packets by default
:INPUT REJECT
# example of established packets: you request askubuntu.com and a response is
# send back to TCP port 80
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Allow traffic to the loopback adapter ("localhost")
-A INPUT -i lo -j ACCEPT
COMMIT
Обратите внимание, что новая строка после [ f7] является обязательным, без него файл будет загружен неправильно. Если вы хотите увидеть свой текущий набор правил, запустите sudo iptables-save, чтобы вывести правила на стандартный вывод.
Теперь создайте исполняемый файл /etc/network/if-pre-up.d/iptables для загрузки правил при запуске:
#!/bin/sh
/sbin/iptables-restore < /etc/network/iptables
Обратите внимание, что если вы применяете правила во время сеанса (прочитайте: до выключения / перезагрузки компьютера), они будут потеряны при завершении работы. Если вы хотите сохранить такие правила, создайте еще один скрипт для сохранения правил. Обратите внимание, что комментарии и т. Д. Теряются.
/etc/network/if-pre-down.d:
#!/bin/sh
/sbin/iptables-save > /etc/network/iptables
-
1... Нам нужно вручную заставить iptables читать правила при запуске ...? Спокойно отличается от RedHat. (Участвовал в некоторых курсах сисадмина для RHCE). Как насчет политики, как мы ее реализуем? – Oxwivi 2 October 2011 в 16:08
-
2IIRC RH также читает правила внутри initscript (/etc/init.d/iptables), а также ufw (/etc/init/ufw.conf). Использование iptables-restore (или iptables-apply при проверке правил над SSH) рекомендуется по правилам настройки вручную с помощью команды iptables, потому что, если одно правило не загружается, ни одно из них не будет загружено и, таким образом, предотвратит возможность блокировки себя. Что вы подразумеваете под политикой? /etc/network/iptables - это путь для правил IPv4 для iptables, /etc/network/ip6tables для IPv6. – Lekensteyn 3 October 2011 в 02:00
-
3Политика - это поведение брандмауэра по умолчанию, аналогичное строке :UNPUT REJCT. Если вы выдаете iptables -L, вы увидите, что Chain * имеет (policy ACCEPT) слева. – Oxwivi 3 October 2011 в 11:03
-
4Кстати, если бы я узнал что-то в курсе, все пакеты будут отклонены, прежде чем вам разрешат получить lo в вашем примере. Пакеты сначала фильтруются по самым верхним правилам, только перемещаются вниз, если предыдущее правило не фильтрует его. – Oxwivi 3 October 2011 в 11:05
-
5Ах, поэтому :INPUT REJECT - это политика. Благодаря! – Oxwivi 3 October 2011 в 17:19
NetworkManager не имеет ничего общего с iptables, хотя вы можете столкнуться с проблемами, если используете другое программное обеспечение для брандмауэра, например ufw. Набор правил по умолчанию, применяемый iptables-apply, это /etc/network/iptables, поэтому давайте использовать его.
Файл правил выглядит так:
*FILTER
# filter rules here, example below:
# Reject incoming packets by default
:INPUT REJECT
# example of established packets: you request askubuntu.com and a response is
# send back to TCP port 80
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Allow traffic to the loopback adapter ("localhost")
-A INPUT -i lo -j ACCEPT
COMMIT
Обратите внимание, что новая строка после COMMIT является обязательным, без него файл будет загружен неправильно. Если вы хотите увидеть свой текущий набор правил, запустите sudo iptables-save, чтобы вывести правила на стандартный вывод.
Теперь создайте исполняемый файл /etc/network/if-pre-up.d/iptables для загрузки правил при запуске:
#!/bin/sh
/sbin/iptables-restore < /etc/network/iptables
Обратите внимание, что если вы применяете правила во время сеанса (прочитайте: до того, как машина выключится / перезагрузится), они будут потеряны при завершении работы. Если вы хотите сохранить такие правила, создайте еще один скрипт для сохранения правил. Обратите внимание, что комментарии и т. Д. Теряются.
/etc/network/if-pre-down.d:
#!/bin/sh
/sbin/iptables-save > /etc/network/iptables