Eu tenho um servidor rodando o Ubuntu 12.04.
Algumas reinicializações de volta comecei a perceber que as regras do iptables são duplicadas na reinicialização.
Isso é o que recebo depois de uma reinicialização (com quebras de linha adicionadas):
$ sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-apache-overflows
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-overflows
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 1.2.3.4/32 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --dport 53 -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-htable-expire 1 --hashlimit-srcmask 28 -j DROP
-A INPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 1.2.3.4/32 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --dport 53 -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-htable-expire 1 --hashlimit-srcmask 28 -j DROP
-A fail2ban-apache-overflows -j RETURN
-A fail2ban-ssh -j RETURN
As quatro regras aplicadas duas vezes devem ser carregadas a partir do if-pre-up.d:
$ cat /etc/network/if-pre-up.d/iptablesload
#!/bin/bash
# Flush iptables
/sbin/iptables -F
#MySQL locally
/sbin/iptables -A INPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
# Mysql access allowed from work
/sbin/iptables -A INPUT -s 1.2.3.4/32 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --dport 3306 -j REJECT --reject-with icmp-port-unreachable
# Rate limit on DNS requests
/sbin/iptables -A INPUT -p udp -m udp --dport 53 -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-htable-expire 1 --hashlimit-srcmask 28 -j DROP
exit 0
Eu tentei adicionar este script de limpeza para garantir que tudo fique nuked quando o servidor ficar inativo:
$ cat /etc/network/if-post-down.d/iptablesunload
#!/bin/sh
echo "Stopping firewall and allowing everyone..."
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
Mas não faz diferença.
Aplicar novamente tudo limpa a bagunça:
$ sudo /etc/network/if-post-down.d/iptablesunload; sudo /etc/network/if-pre-up.d/iptablesload; sudo service fail2ban restart; sudo iptables -S
Stopping firewall and allowing everyone...
* Restarting authentication failure monitor fail2ban [ OK ]
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-apache-overflows
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-overflows
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 1.2.3.4/32 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --dport 53 -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-htable-expire 1 --hashlimit-srcmask 28 -j DROP
-A fail2ban-apache-overflows -j RETURN
-A fail2ban-ssh -j RETURN
Eu adicionei um eco a iptablesload para acompanhar quando o script é executado:
echo "$PPID: 'ps -ocommand= -p $PPID'" > /tmp/loading_iptables.'date +%F_%H:%M:%S.%N'
Após a reinicialização, posso agora verificar se o script é executado várias vezes:
$ ls /tmp/
loading_iptables.2014-06-30_09:58:06.732185289
loading_iptables.2014-06-30_09:58:06.766291579
$ cat /tmp/*
729: run-parts /etc/network/if-pre-up.d
782: run-parts /etc/network/if-pre-up.d
Isso, então, traz duas perguntas:
iptables -F não são executadas entre as execuções? Sua regra provavelmente está sendo executada para um dispositivo de rede E um dispositivo de loopback.
Para excluir o dispositivo de loopback, adicione isso ao topo do seu script, logo abaixo do seu shebang, que verifica se o dispositivo atual que está sendo iniciado não é loopback "lo":
[ "$IFACE" != "lo" ] || exit 0
Ou para garantir que a regra seja executada apenas para um dispositivo especificado (por exemplo, eth0):
[ "$IFACE" == "eth0" ] || exit 0