Início / server / Perguntas / 200635
Accepted
kagali-san
Asked: 2010-11-11 19:18:02 +0800 CST

melhor maneira de limpar todas as regras do iptables

  • 772

Atualmente tenho este trecho:

# flush all chains
iptables -F
iptables -t nat -F
iptables -t mangle -F
# delete all chains
iptables -X

Existe a possibilidade de que alguma regra impermeável permaneça viva depois de executar isso?

A idéia é ter uma configuração de iptables completamente limpa, que possa ser facilmente substituída por um novo conjunto de regras (não importa os parâmetros do route/ifconfig).

firewall linux iptables

11 respostas

  1. Best Answer

    Para responder à sua pergunta de forma sucinta, não: não haveria nenhuma regra "sobrada" depois de liberar todas as mesas. No entanto, para ser completo, você pode querer definir a política para o built-in INPUTe FORWARDchains para ACCEPT, também:

    iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X

    Limpar regras do ip6tables:

    ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -t nat -F
ip6tables -t mangle -F
ip6tables -F
ip6tables -X

    ...e isso deveria bastar. iptables -nvLdeve produzir esta saída (ou muito semelhante):

    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    • 184

  2. Isso irá redefinir totalmente o seu sistema iptables para um estado muito básico:

    iptables-save | awk '/^[*]/ { print $1 } 
                     /^:[A-Z]+ [^-]/ { print $1 " ACCEPT" ; }
                     /COMMIT/ { print $0; }' | iptables-restore

    Todas as políticas serão redefinidas para ACEITAR, além de liberar todas as tabelas em uso atual. Todas as cadeias, exceto as cadeias incorporadas, não existirão mais.

    • 42

  3. Pode-se fazer isso em 1 ou 2 comandos:

     $ sudo iptables-save > iptables.bak
 $ sudo iptables -F

    Resultado:

    $ sudo iptables -nvL
Chain INPUT (policy ACCEPT 3138 packets, 5567K bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3602 packets, 6547K bytes)
pkts bytes target     prot opt in     out     source               destination
    • 4

  4. Faz backup da configuração para iptables_backup.conf e limpa todas as regras.

    iptables-save | tee iptables_backup.conf | grep -v '\-A' | iptables-restore

    Para restaurar a configuração anterior:

    iptables-restore < iptables_backup.conf
    • 4

  5. Sempre que preciso do firewall desabilitado é algo assim:

    • iptables-save > iptables.bak
    • service iptables stop(estou no fedora)
    • 3

  6. Você pode simplesmente descarregar iptables' módulos do kernel:

    modprobe -r iptable_raw iptable_mangle iptable_security iptable_nat iptable_filter

    UPD Infelizmente, bom demais para ser verdade. Enquanto houver uma regra ou uma cadeia definida pelo usuário em uma tabela, a contagem de referência do módulo correspondente será 1 e modprobe -rfalhará. Você pode excluir regras e cadeias definidas pelo usuário assim:

    echo $'*raw\nCOMMIT\n*mangle\nCOMMIT\n*security\nCOMMIT\n*nat\nCOMMIT\n*filter\nCOMMIT' | iptables-restore

    ou:

    iptables-save | awk '/^[*]/ { print $1 "\nCOMMIT" }' | iptables-restore

    Além disso, você pode querer descarregar os módulos dessa maneira (sem nomes de módulos de codificação):

    lsmod | egrep ^iptable_ | awk '{print $1}' | xargs -rd\\n modprobe -r

    Pelo lado positivo, depois disso iptables-saveproduz uma boa saída vazia :)

    • 3

  7. Eu tive que bloquear todas as conexões recentemente o que acabei fazendo foi

    iptables-policy INPUT DROP
iptables-policy OUTPUT DROP
iptables-policy FORWARD DROP

    quanto a salvar eu recomendo o seguinte

    Ubuntu:

    /etc/init.d/iptables save
/sbin/service iptables save

    Red Hat/CentOS:

    /etc/init.d/iptables save
/sbin/iptables-save

    Além de fazer backup de todas as regras atuais do ufw, usei isso no passado

    cp /lib/ufw/{user.rules,user6.rules} /<BACKUP LOCATION> 
cp /lib/ufw/{user.rules,user6.rules} ./

    Acho que isso pode ser útil para referência futura. Pensei em compartilhar.

    • 1

  8. Isso funcionou para mim (no Ubuntu 18.04):

    sudo bash -c "ufw -f reset && iptables -F && iptables -X && ufw allow 22 && ufw -f enable"

    Ele redefine (e desativa) o ufw e depois redefine o iptables limpando e removendo todas as cadeias. Em seguida, ele habilita o ufw novamente, mas não antes de permitir a porta 22 para acesso remoto. Os dois comandos que exigem confirmação do usuário são "forçados", garantindo que nenhuma entrada seja necessária. Consegui executar isso em uma conexão SSH ativa.

    ( fonte )

    • 1

  9. Aqui está como eu removo todas as regras DROP:

    iptables -S |grep DROP| sed 's/-A/-D/' >rules  # -A becomes -D: delete
nano rules  # check that everything is correct
cat rules | while read line; do iptables $line; done
iptables-save

    Feito!

    • 1 
  10. sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -t filter -F
sudo iptables -t raw -F

sudo iptables -t nat -X
sudo iptables -t mangle -X
sudo iptables -t filter -X
sudo iptables -t raw -X

echo "=== NAT ==="; sudo iptables -t nat -S; echo "\n=== MANGLE ==="; sudo iptables -t mangle -S; echo "\n=== FILTER ==="; sudo iptables -t filter -S; echo "\n=== RAW ==="; sudo iptables -t raw -S
    • 0

relate perguntas