Конечно, Windows Firewall ухудшит производительность.
Это должно осмотреть все пакеты в и из сервера.
Это берет ЦП.
Если необходимо увеличить производительность на сервере, то необходимо будет выключить Windows Firewall и установить аппаратный брандмауэр вместо этого.
Я предполагаю, что Вы находитесь в базирующейся системе DEBIAN, потому что дистрибутивы RH/Centos идут с init включенным сценарием.
Для iptables-персистентной установки Ubuntu
apt-get install iptables-persistent
и должен быть достаточно.
Для Debian можно получить сценарий от где: http://www.ubuntucy.org/wiki/index.php/A_persistent_iptables_startup_script_for_Debian_based_systems
Для добавления это при начальной загрузке использует обновление-rc.d. Я предполагаю, что Вы сохранили сценарий на/etc/init.d/iptables, выполненном:
update-rc.d iptables defaults
и Вы сделаны.
С уважением
На самом деле у меня действительно есть вопрос того, почему необходимо изменить iptables ruleset все время.
Однако, если Вы просто хотите протестировать некоторые новые правила, вот то, как:
Сделать iptables-save > iptsave.sh
(.sh должен включить хорошее выделение энергии),
vi iptsave.sh
и сделайте свои изменения
iptables-apply -t 600 iptsave.sh
= 600 секунд тестирования времени, после который iptables-apply
автоматически возвращается к предшествующему ruleset. Или, можно нажать y, и новый ruleset становится постоянным. НЕ ИСПОЛЬЗОВАТЬ <
ВОТ!! iptables-apply
принимает имя файла как аргумент, не как STDIN.
mv iptsave.sh /etc/iptables.rules
И в основном iptables conf файл может быть связан другой файл правил iptables, который может быть сделан доступным для редактирования пользователями, у которых есть меньше полномочий.
Но почему??
iptables ruleset предназначен, чтобы быть сделанным однажды и измененным только время от времени. Если необходимо продолжать изменять все это время, я думаю, что Вы не реализуете iptables самым эффективным/эффективным способом.
В первую очередь, удостоверьтесь, что тестирование MAC отклоняется к другой цепочке. Я предлагаю также 'разделить' ВХОДНУЮ цепочку (я отбрасываю iptables
команда для краткости)
-N MAC_admins
-N MAC_users
-N INPUT_2
-A INPUT -j MAC_admins
-A INPUT -j MAC_users
-A INPUT -j DROP
... rest of -A INPUT is put into -A INPUT_2 ...
MAC_admins
для MAC-адресов администраторов, таким образом, это не будет полито из шланга (и таким образом блокирование Вас):
-A MAC_admins -m mac --mac-source 11:11:11:11:11:11 -g INPUT_2
-A MAC_admins -m mac --mac-source 22:22:22:22:22:22 -g INPUT_2
-A MAC_admins -m mac --mac-source 33:33:33:33:33:33 -g INPUT_2
Пользователи, MAC которых ничему не соответствует, там будут возвращены к ВХОДНОЙ цепочке и вынесут 2-ю проверяющую MAC цепочку. Теперь, для заполнения этой цепочки давайте сделаем сценарий. Предположите, что это /etc/firewall/UpdateMAC.sh
#!/bin/bash
readonly CONFDIR="/etc/firewall/maclists"
readonly IPT="/sbin/iptables"
readonly WORKCHAIN="MAC_users"
readonly NEXTCHAIN="INPUT_2"
readonly MACPATTERN="^([a-f0-9]{2}:){5}[a-f0-9]{2}$"
# Flush the chain (i.e., remove all rules in the chain)
$IPT -F $WORKCHAIN
for f in $CONFDIR/*
do
while read mac; do
[[ -z $mac ]] && continue # Skip empty lines
[[ ${mac:0:1} == "#" ]] && continue # Skip comments (if any)
# A regex check to ensure that $mac indeed contains a MAC address
if [[ $mac =~ $MACPATTERN ]]; then
$IPT -A $WORKCHAIN -m mac --mac-source $mac -g $NEXTCHAIN
fi
done < $f
done
exit 0
# Tested on bash v4
Теперь сделайте некоторое волшебство с chmod
и chown
. Сделайте, чтобы Ваши подадминистраторы отредактировали один (или больше) файлы под /etc/firewall/maclists/
, и каждый раз, когда они отредактировали свой файл (файлы), Вы просто выполняете сценарий.
У меня есть аналогичный вопрос, но он по этой теме, так что я полагаю, что поделюсь своими двумя центами и спрошу ...
Во-первых, на сервере это вполне выполнимо иметь набор правил iptables, который часто меняется. Не знаю, кто бы мог подумать. Если вы запускаете программное обеспечение для обнаружения сканирования портов или другие типы IPS (программное обеспечение предотвращения вторжений), эти программы можно настроить для добавления правил запрета для определенных атакующих хостов в конфигурацию iptables. В этом случае вы, вероятно, захотите, чтобы эти правила запрета применялись к файлам сохранения при остановке или перезапуске iptables.
При этом не жалейте его за то, что он хотел динамически обновлять iptables. Я ловлю то же самое.
Чтобы ответить на этот вопрос, есть пакет iptables-persistent, который можно установить с помощью " не видно, чтобы найти этот файл где угодно. Думаю, тот, кто может опубликовать путь к нему, ответит на оба наших вопроса. : p
не видно, чтобы найти этот файл где угодно. Думаю, тот, кто может опубликовать путь к нему, ответит на оба наших вопроса. : p