Devo descarregar as regras do iptables se a interface cair?

Question

Devo descarregar as regras do iptables se a interface cair?

#1 resposta do (2 votos)
#2 resposta do (1 votos)

2

Devo liberar as regras do iptables para uma interface específica se essa interface cair?
Oferece alguma vantagem?

Atualmente, estou usando iptables-restore e não estou excluindo regras, mesmo que enviei a interface para baixo, as regras são carregadas na inicialização e isso é tudo.

O que você recomendou?

iptables linux

por Ency 04.03.2011 / 19:41

2 respostas

1

Eu não acho que seja necessário. Além disso, se você usar uma política DROP e liberar a coisa errada, poderá encerrar o bloqueio do servidor.

por 04.03.2011 / 22:46

Tags iptables linux

Usando o ssh-agent com o KDE? Replicação DFS e cotas de disco nos servidores de arquivos do Windows 2008 R2

score 2 · Accepted Answer

Eu não me incomodaria. Pode haver alguns casos de borda que possam ser importantes para o desempenho do FW (por exemplo, se você tiver milhares de regras, fwmarks complexas, etc., executando para uma interface não usada).

Eu implementei firewalls altamente disponíveis usando vlans, heartbeat e iptables. Nesse caso, o firewall em espera tem todas as regras carregadas, embora não possua nenhum dos IPs (no entanto, criamos os dispositivos vlan antes do tempo).

Além disso, se você carregar todas as regras do FW de um script e depois liberar apenas as regras para uma única interface, precisará recarregar todas as regras para restaurar a interface. Isso interromperá suas conexões estabelecidas desnecessariamente.