Script Iptables

3

Qual é o lugar certo para iniciar / parar o script iptables? Atualmente eu coloquei em /etc/init.d e tem opções start / stop. No entanto, eu não acho que é o melhor lugar. Os outros dois de acordo com minha pesquisa são

  • /etc/network/interface -> pre-up

  • /etc/network/if-*.d (este chamará meu script com argumento start / stop?)

Então, onde está o lugar certo?

    
por Pablo 30.10.2012 / 01:01

1 resposta

0

/etc/init.d está obsoleto para isso porque existe uma condição de corrida - por alguns instantes na reinicialização, você tem rede ativa, mas não tem seu firewall ativado. não faça isso.

Normalmente, o que você deseja fazer é configurar o firewall de acordo com o seu gosto e, em seguida, fazer iptables-save > /etc/network/iptables . Agora crie /etc/network/if-pre-up.d/iptables.sh da seguinte forma:

#!/bin/sh
/sbin/iptables-restore < /etc/network/iptables

Lembre-se de criar os dois arquivos de propriedade root e chmod 400 /etc/network/iptables ; chmod 755 /etc/network/if-pre-up.d/iptables.sh para definir as permissões de forma adequada. Usuários não privilegiados não devem ler o conjunto de regras do firewall, muito menos alterá-lo, mas o script em if-pre-up.d < strong> deve ser executável. (Você pode, opcionalmente, escolher 700 se estiver se sentindo animado; mas não vejo que isso realmente mantenha algo mais seguro.)

Você não precisa de um script baixo para isso, apenas um pré-up. Você especificamente quer pré-up porque isso evita que você tenha sua interface de rede on-line sem seu firewall ativado.

    
por Jim Salter 26.11.2012 / 04:00