У меня 6 установок OSSEC (5 агентов + 1 сервер, все Debian 8) все настроены на блокировку повторных нарушителей с использованием iptables от 10 минут до 1 месяца.
Мне время от времени необходимо перезапускать один или несколько серверов. Каждый раз, когда правила iptables, добавленные OSSEC, удаляются. Это также происходит при перезапуске ossec (./ossec-control restart)
Есть ли простое решение для сохранения правил, или мне придется изменять сценарии активного ответа, чтобы запускать iptables-save каждый раз, когда IP блокируется / разблокируется ?
Я думаю, вы ответили на свой вопрос последним, о запуске iptables-save в сценариях активного ответа.Но проблема в том, что каждый раз, когда вы обновляете OSSEC, эти изменения будут перезаписаны.
Так что лучший вариант - настроить iptables-save в cron по своему вкусу.