主页 / unix / 问题 / 761474
Accepted
user3450548
Asked: 2023-11-15 00:58:29 +0800 CST

在启动期间和网络接口上线之前尽可能快地加载 iptables 或 nftables 规则

  • 772

我依靠我的特定服务在 debian 安装启动时加载 iptables 规则,该服务调用

iptables-restore my_rules.v4

ip6tables-restore my_rules.v6

并执行一些其他脚本

但是我意识到,在启用接口和应用固件规则之间存在应用默认规则的一小段时间,这可能会使机器面临一些风险。

我已经启用了 iptables-persistent 服务,但我不确定它是否在网络部分启动之前加载。

在网络上线并可用之前加载脚本的最佳方法是什么?

我听说过接口中的 pre-up,但我有很多接口,所以我不确定首先放置哪个接口,并且在所有接口上使用 pre-up 会导致脚本运行太多次而不是只运行一次。

debian

2 个回答

  1. Best Answer

    在 Debian 12 中,iptables默认是新nftables子系统的包装器。该iptables-persistent包依赖于 package ,它创建一个名为和的别名netfilter-persistent的服务。netfilter-persistent.serviceiptables.serviceip6tables.service

    netfilter-persistent.service定义如下:

    systemctl cat netfilter-persistent.service

# /lib/systemd/system/netfilter-persistent.service
[Unit]
Description=netfilter persistent configuration
DefaultDependencies=no
Wants=network-pre.target systemd-modules-load.service local-fs.target
Before=network-pre.target shutdown.target
After=systemd-modules-load.service local-fs.target
Conflicts=shutdown.target
Documentation=man:netfilter-persistent(8)

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/netfilter-persistent start
ExecStop=/usr/sbin/netfilter-persistent stop

[Install]
WantedBy=multi-user.target

# /usr/lib/systemd/system/netfilter-persistent.service.d/iptables.conf
[Install]
Alias=iptables.service ip6tables.service

    注意DefaultDependencies=noWants=network-pre.targetBefore=network-pre.target。假设您使用任何预期的方式来配置网络接口,这些已经确保在配置任何网络接口之前恢复 iptables/nftables 规则。

    所以答案是,是的,iptables-persistent在启动任何网络接口之前加载。

    如果您想为 iptables/nftables 规则创建自己的自定义服务,您应该以相同的方式设置该服务的依赖项netfilter-persistent.service

    请参阅手册页network-pre.target上的文档(重点是我的):systemd.special(7)

    network-pre.target

    该被动目标单元可以由想要在设置任何网络之前运行的服务拉入,例如为了设置防火墙的目的。所有网络管理软件都会在此目标之后自行排序,但不会将其拉入。有关详细信息,另请参阅网络启动后运行服务。

    • 1

  2. 取决于您的发行版,例如 Fedora Linux 会为您做到这一点。奇怪的是你的发行版却没有——这是一个绝对值得报告和修复的安全漏洞。Systemd 对加载单元有依赖性,您需要使网络依赖于您的防火墙单元。如果您使用不同的初始化系统,请咨询它。

    • 0

相关问题