Eu tenho 6 instalações OSSEC (5 agentes + 1 servidor, todos Debian 8) todos configurados para bloquear reincidentes recorrentes usando iptables de 10 minutos a 1 mês.
Eu tenho a necessidade de reiniciar um ou mais servidores de tempos em tempos. Toda vez que as regras do iptables adicionadas pelo OSSEC são removidas. Isso também acontece ao reiniciar o ossec (./ossec-control restart)
Existe uma solução fácil para manter as regras, ou terei que modificar os scripts de resposta ativos para executar o iptables-save toda vez que um IP for bloqueado / desbloqueado?
Eu acho que você respondeu sua própria pergunta com o último, de executar iptables-save em scripts de resposta ativa. Mas o problema é que, quando você atualiza o OSSEC, essas alterações serão sobrescritas.
Então a melhor opção é configurar o iptables-save no cron ao seu gosto.