Eu tenho um monte de regras para a minha configuração iptables (roteamento, ssh bans etc) Eu também peguei uma lista de IP's para banir aqui link e agora está ficando muito complicado.
Meu /etc/sysconfig/iptables é realmente longo. Existe uma maneira de gerenciar as regras incluindo regras de arquivos externos?
Por exemplo:
#include "pre_routing_rules"
#include "ssh_bans"
Isso incluirá as regras adicionadas nos arquivos "pre_routing_rules" e "ssh_bans" Dessa forma, posso gerenciar facilmente minhas regras sem precisar procurar cat /etc/sysconfig/iptables .
Experimente os ipsets do iptables . ipsets são configurados separadamente, e estes também são mais rápidos se você tiver endereços IP suficientes para gerenciar.
A regra iptables pode se referir a ipset assim:
iptables -A FORWARD -m set --set blocklist src, dst -j DROP
Uma solução simples é usar vários scripts bash para cada seção, como:
iptables-routing.sh
iptables-ssh-bans.sh
iptables-blacklist.sh
E execute esses arquivos a partir de um script mestre.
O iptables não lê o arquivo diretamente, isto é feito por um programa chamado iptables-restore. Isso geralmente é chamado de um dos seus scripts de inicialização.
Você pode adicionar arquivos de entrada extras à sua linha de restauração do iptables. Você terá que encontrar onde esta linha está no seu sistema, mas na minha caixa Debain, está em /etc/init.d/nat
A linha atualmente é assim:
/sbin/iptables-restore < /etc/network/iptables
Talvez possa ser alterado para algo assim:
cat /etc/network/iptables \
/etc/network/pre_routing_tables \
/etc/network/ssh_bans | /sbin/iptables-restore
Eu costumo usar um dos muitos scripts / ferramentas de firewall on-top-of-iptables, como Firestarter ou Shorewall, eles vêm com muitos arquivos, separados por propósito, adicionam regras interessantes para proteger contra certos tipos de pacotes falsos e eles geralmente funcionam bem.
Não tenho certeza de qual distro você está executando, já que o meu não possui o arquivo que você se refere - mas normalmente arquivos que contêm regras do iptables são apenas scripts de shell - então você deve ser capaz de fazer o que quiser tendo uma linha como:
/ etc / sysconfig / pre_routing_rules
ou algo parecido no topo do arquivo iptables que você se refere.