Загрузка вручную создала iptables сценарий на начальной загрузке

На самом деле у меня действительно есть вопрос того, почему необходимо изменить iptables ruleset все время.

Однако, если Вы просто хотите протестировать некоторые новые правила, вот то, как:

1. Сделать iptables-save > iptsave.sh (.sh должен включить хорошее выделение энергии),

2. vi iptsave.sh и сделайте свои изменения

3. iptables-apply -t 600 iptsave.sh = 600 секунд тестирования времени, после который iptables-apply автоматически возвращается к предшествующему ruleset. Или, можно нажать y, и новый ruleset становится постоянным. НЕ ИСПОЛЬЗОВАТЬ < ВОТ!! iptables-apply принимает имя файла как аргумент, не как STDIN.

4. mv iptsave.sh /etc/iptables.rules

---

И в основном iptables conf файл может быть связан другой файл правил iptables, который может быть сделан доступным для редактирования пользователями, у которых есть меньше полномочий.

Но почему??

iptables ruleset предназначен, чтобы быть сделанным однажды и измененным только время от времени. Если необходимо продолжать изменять все это время, я думаю, что Вы не реализуете iptables самым эффективным/эффективным способом.

---

Правила Customizable & Updatable MAC

В первую очередь, удостоверьтесь, что тестирование MAC отклоняется к другой цепочке. Я предлагаю также 'разделить' ВХОДНУЮ цепочку (я отбрасываю iptables команда для краткости)

-N MAC_admins
-N MAC_users
-N INPUT_2
-A INPUT -j MAC_admins
-A INPUT -j MAC_users
-A INPUT -j DROP
... rest of -A INPUT is put into -A INPUT_2 ...

MAC_admins для MAC-адресов администраторов, таким образом, это не будет полито из шланга (и таким образом блокирование Вас):

-A MAC_admins -m mac --mac-source 11:11:11:11:11:11 -g INPUT_2
-A MAC_admins -m mac --mac-source 22:22:22:22:22:22 -g INPUT_2
-A MAC_admins -m mac --mac-source 33:33:33:33:33:33 -g INPUT_2

Пользователи, MAC которых ничему не соответствует, там будут возвращены к ВХОДНОЙ цепочке и вынесут 2-ю проверяющую MAC цепочку. Теперь, для заполнения этой цепочки давайте сделаем сценарий. Предположите, что это /etc/firewall/UpdateMAC.sh

#!/bin/bash
readonly CONFDIR="/etc/firewall/maclists"
readonly IPT="/sbin/iptables"
readonly WORKCHAIN="MAC_users"
readonly NEXTCHAIN="INPUT_2"

readonly MACPATTERN="^([a-f0-9]{2}:){5}[a-f0-9]{2}$"

# Flush the chain (i.e., remove all rules in the chain)
$IPT -F $WORKCHAIN

for f in $CONFDIR/*
do
  while read mac; do
    [[ -z $mac ]] && continue           # Skip empty lines
    [[ ${mac:0:1} == "#" ]] && continue # Skip comments (if any)
    # A regex check to ensure that $mac indeed contains a MAC address
    if [[ $mac =~ $MACPATTERN ]]; then
      $IPT -A $WORKCHAIN -m mac --mac-source $mac -g $NEXTCHAIN
    fi
  done < $f
done

exit 0
# Tested on bash v4

Теперь сделайте некоторое волшебство с chmod и chown. Сделайте, чтобы Ваши подадминистраторы отредактировали один (или больше) файлы под /etc/firewall/maclists/, и каждый раз, когда они отредактировали свой файл (файлы), Вы просто выполняете сценарий.

У меня есть аналогичный вопрос, но он по этой теме, так что я полагаю, что поделюсь своими двумя центами и спрошу ...

Во-первых, на сервере это вполне выполнимо иметь набор правил iptables, который часто меняется. Не знаю, кто бы мог подумать. Если вы запускаете программное обеспечение для обнаружения сканирования портов или другие типы IPS (программное обеспечение предотвращения вторжений), эти программы можно настроить для добавления правил запрета для определенных атакующих хостов в конфигурацию iptables. В этом случае вы, вероятно, захотите, чтобы эти правила запрета применялись к файлам сохранения при остановке или перезапуске iptables.

При этом не жалейте его за то, что он хотел динамически обновлять iptables. Я ловлю то же самое.

Чтобы ответить на этот вопрос, есть пакет iptables-persistent, который можно установить с помощью " не видно, чтобы найти этот файл где угодно. Думаю, тот, кто может опубликовать путь к нему, ответит на оба наших вопроса. : p

не видно, чтобы найти этот файл где угодно. Думаю, тот, кто может опубликовать путь к нему, ответит на оба наших вопроса. : p