Início / unix / Perguntas / 761474
Accepted
user3450548
Asked: 2023-11-15 00:58:29 +0800 CST

Carregue as regras do iptables ou nftables o mais rápido possível durante a inicialização e antes que as interfaces de rede sejam colocadas online

  • 772

Eu confio no meu serviço específico para carregar regras de iptables na inicialização da minha instalação debian, este serviço chama

iptables-restore my_rules.v4

ip6tables-restore my_rules.v6

e fazer alguns outros scripts

porém percebi que há um pequeno delta de tempo onde as regras padrão são aplicadas entre a habilitação das interfaces e a aplicação das regras de fw, isso pode expor a máquina a alguns riscos.

Ativei o serviço iptables-persistent, mas não tenho certeza se ele foi carregado antes do início da parte de rede.

Qual é a melhor maneira de carregar meu script antes que a rede esteja online e disponível?

Ouvi falar de pré-up em interfaces, mas tenho muitas interfaces, então não tenho certeza de qual interface será instalada primeiro, e usar o pré-up em todas as interfaces faria com que o script fosse executado muitas vezes em vez de apenas uma.

debian

2 respostas

  1. Best Answer

    No Debian 12, iptablesé por padrão um wrapper para o novo nftablessubsistema. O iptables-persistentpacote depende de package netfilter-persistent, que cria um serviço chamado netfilter-persistent.servicecom alias de iptables.servicee ip6tables.service.

    O netfilter-persistent.serviceé definido assim:

    systemctl cat netfilter-persistent.service

# /lib/systemd/system/netfilter-persistent.service
[Unit]
Description=netfilter persistent configuration
DefaultDependencies=no
Wants=network-pre.target systemd-modules-load.service local-fs.target
Before=network-pre.target shutdown.target
After=systemd-modules-load.service local-fs.target
Conflicts=shutdown.target
Documentation=man:netfilter-persistent(8)

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/netfilter-persistent start
ExecStop=/usr/sbin/netfilter-persistent stop

[Install]
WantedBy=multi-user.target

# /usr/lib/systemd/system/netfilter-persistent.service.d/iptables.conf
[Install]
Alias=iptables.service ip6tables.service

    Observe DefaultDependencies=no, Wants=network-pre.targete Before=network-pre.target. Isso já garante que as regras iptables/nftables sejam restauradas antes que qualquer interface de rede seja configurada, assumindo que você use qualquer uma das formas esperadas para configurar interfaces de rede.

    Portanto, a resposta é sim, iptables-persistenté carregado antes de qualquer interface de rede ser iniciada.

    Se você deseja criar seu próprio serviço personalizado para suas regras de iptables/nftables, você deve definir as dependências desse serviço da mesma forma netfilter-persistent.service.

    Veja a documentação network-pre.targetna systemd.special(7)página de manual (ênfase minha):

    network-pre.target

    Essa unidade de destino passiva pode ser atraída por serviços que desejam ser executados antes da configuração de qualquer rede, por exemplo, com a finalidade de configurar um firewall . Todo software de gerenciamento de rede se ordena após esse alvo, mas não o puxa. Consulte também Executando serviços após a rede estar ativa para obter mais informações.

    • 1

  2. Depende da sua distribuição, por exemplo, o Fedora Linux faz isso para você. É estranho que sua distribuição não o faça - essa é uma vulnerabilidade de segurança que vale a pena relatar e corrigir. O Systemd possui dependências para carregar unidades, você precisa fazer com que a rede dependa da sua unidade de firewall. Se você estiver usando um sistema init diferente, consulte-o.

    • 0

relate perguntas