Início / unix / Perguntas / 409870
Accepted
maaartinus
Asked: 2017-12-09 19:39:31 +0800 CST

iptables persistentes

  • 772

Acabei de ler sobre iptables-persistent e estou completamente perdido com o design. Não sou o único que não entendeu como funciona, mas na verdade parece estar muito além da minha imaginação.

Imaginei algo como crontab -e : você edita um conjunto de regras e elas persistem e são aplicadas quando o editor é fechado. Eles são armazenados em algum lugar e eu, como usuário, não tenho ideia de onde. Não me diga; é perfeito assim.

Existe tal ferramenta? Por que iptables-persistentfunciona dessa maneira difícil de seguir?

iptables persistence

3 respostas

  1. Best Answer

    Em geral, você pode editar as regras ativas do iptables para IPv4 com um editor de texto usando o iptables-savecomando para gravar as regras em um arquivo e, em seguida, usar o iptables-restorecomando para recarregar as novas regras depois de terminar, por exemplo:

    user@host:~$ iptables-save > rules.v4
user@host:~$ vim rules.v4
user@host:~$ iptables-restore rules.v4

    Para IPv6 você usaria os comandos análogos ip6tables-savee ip6tables-restore, ou seja:

    user@host:~$ ip6tables-save > rules.v6
user@host:~$ vim rules.v6
user@host:~$ ip6tables-restore rules.v6

    O iptables-persistentserviço verifica nos seguintes locais:

    /etc/iptables/rules.v4
/etc/iptables/rules.v6

    Portanto, para aplicar suas regras e mantê-las, siga as mesmas etapas acima, mas edite os iptables-persistentarquivos, por exemplo:

    user@host:~$ iptables-save > /etc/iptables/rules.v4
user@host:~$ vim /etc/iptables/rules.v4
user@host:~$ iptables-restore /etc/iptables/rules.v4

    Não conheço um comando interativo para editar as regras do iptables como o que você está descrevendo, mas deve ser muito fácil criar o seu próprio. Aqui está um exemplo simples:

    #!/usr/bin/env bash

# iptables-e.sh

# Create a temporary file to store the new rules
TEMPFILE=$(mktemp)

# Save the current rules to a file
iptables-save > "${TEMPFILE}"

# Edit the rules interactively with a text editor
"${EDITOR}" "${TEMPFILE}" 

# Try to load the rules and update the persistent rules if no errors occur
iptables-restore "${TEMPFILE}" && cat "${TEMPFILE}" > /etc/iptables/rules.v4

    Na verdade, isso não é muito diferente de como crontab -efunciona, que apenas salva automaticamente o crontab ativo em um arquivo no /var/spool/cron/crontabsdiretório, que é o que faz com que o crontab seja persistente. Veja o seguinte post para uma discussão mais aprofundada sobre este assunto:

    Você também pode estar interessado no seguinte script:

    Eu não posso garantir isso embora. Eu nunca usei isso. É apenas a única coisa que encontrei procurando por edição interativa de iptables.

    • 6

  2. Por que você não faz um script assim:

    #!/bin/bash
...
${YOUR_IPTABLES_RULES}
...

    E então, basta iniciar o script toda vez que você reiniciar sua máquina:

    # vim /etc/crontab
@reboot         root         /bin/bash /root/bin/myiptablesrules.sh

    Dessa forma, você também teria regras persistentes :)

    • 2

  3. Já tentou usar o comando iptables-save?

    iptables-save > /path/to/file
ip6tables-save > /path/to/file
iptables-restore < /path/to/file
ip6tables-restore < /path/to/file

    Você pode simplesmente salvar no arquivo manualmente e adicionar o comando de restauração para ser executado na inicialização ou no login. Os arquivos resultantes são facilmente legíveis por humanos e contêm os comandos iptables equivalentes para cada entrada. Você também pode editar os arquivos resultantes antes de recarregá-los. Pelo menos é o que eu faço. Não tenho certeza se este é o melhor método, mas definitivamente funciona.

    • 1

relate perguntas