iptablesEu tenho regras / bastante complexas ip6tablesque afetam várias interfaces. Gostaria de ter certeza de que as regras de firewall estão sempre em vigor. Como se pode criar regras mesmo para (naquele momento) interfaces inexistentes (por exemplo iptables -A INPUT -i eth999 -j ACCEPT), então pensei que não vou associar as regras a uma interface física, mas sim a uma lointerface que está sempre presente:
# head /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
pre-up /sbin/iptables-restore < /etc/network/IPv4_fw_rules
pre-up /sbin/ip6tables-restore < /etc/network/IPv6_fw_rules
#
Isso tem alguma desvantagem?
Não há garantia de que lo seja inicializado primeiro (pode ser configurado dessa forma agora, mas isso não significa que tenha que ser assim e pode de fato ser alterado em algum momento no futuro).
Mas por que associá-lo a uma interface de rede? Basta adicionar um script de inicialização personalizado ou serviço systemd que você carrega antes de a rede ser inicializada e que executa os dois comandos para inicializar o firewall. Você Terminou. É assim que configuro meus firewalls de qualquer maneira ...