Existe alguma desvantagem ou perigo para carregar todas as regras de firewall antes de inicializar a interface de loopback?

3

Eu tenho regras iptables / ip6tables bastante complexas que afetam várias interfaces. Eu gostaria de ter certeza de que as regras de firewall estão sempre em vigor. Como é possível criar regras mesmo para (nesse momento) interfaces inexistentes (por exemplo, iptables -A INPUT -i eth999 -j ACCEPT ), então pensei que não associasse as regras a uma interface física, mas sim com a interface lo , que é sempre presente:

# head /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback
        pre-up /sbin/iptables-restore < /etc/network/IPv4_fw_rules
        pre-up /sbin/ip6tables-restore < /etc/network/IPv6_fw_rules
#

Isso tem alguma desvantagem?

    
por Martin 23.08.2018 / 14:27

1 resposta

2

Não há garantia de que lo seja inicializado primeiro (pode acontecer de ser configurado desta forma agora, mas isso não significa que tem para ser assim e pode de fato ser alterado em algum momento) ponto no futuro).

Mas por que associá-lo a uma interface de rede? Basta adicionar um script de inicialização personalizado ou um serviço systemd que você carrega antes que a rede seja inicializada e que execute os dois comandos para inicializar o firewall. Você está feito. É assim que eu configuro meus firewalls de qualquer maneira ...

    
por 28.08.2018 / 17:38