URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85099
[ Назад ]
Исходное сообщение
"Сохранение правил iptables"
Отправлено qqq , 30-Апр-09 01:18 
Привет всем!
Имется машина на которой крутится  линукс.
Все окей. При помощи iptables приватная сетка выходит в инет.
Вот только одна проблема.
После перезапуска машины iptables терят все настройки.
Пытался сохранить настройки iptables с помощью команды iptables-save.
Но не помогает.
Вопрос как сохранить установки Iptables так что бы после перезапуска iptables
их сразу применял?
Содержание
Сообщения в этом обсуждении
"Сохранение правил iptables"
Отправлено Sarge , 30-Апр-09 07:09 
дистр какой?


"Сохранение правил iptables"
Отправлено sonkilla , 30-Апр-09 10:19 
>дистр какой?

Я непретендую на правоту маего решения но я делаю так отрубаю при загрузке iptables.
В /etc/rc.d создаю два башевских исполняемых файла rc.firewall и rc.nat в них прописываю все что нужно в rc.firewall правила фаирвола в rc.nat правила ната и вставляю все это дело в автозагрузку.плюс данного решения в том что удобней видеть все правила и редактировать их.может и вам поможет.
  

"Сохранение правил iptables"
Отправлено qqq , 30-Апр-09 10:47 
>>дистр какой?
>
>Я непретендую на правоту маего решения но я делаю так отрубаю при
>загрузке iptables.
>В /etc/rc.d создаю два башевских исполняемых файла rc.firewall и rc.nat в них
>прописываю все что нужно в rc.firewall правила фаирвола в rc.nat правила
>ната и вставляю все это дело в автозагрузку.плюс данного решения в
>том что удобней видеть все правила и редактировать их.может и вам
>поможет.
>

Дистрибутив линукса алтлинукс.
Покажите, пожалуйста, содержимое  вашего скриптика!
А то я попытался сделать скриптик но у он не запускается.
Может я что то не так сделал.

"Сохранение правил iptables"
Отправлено ITtadgik , 30-Апр-09 23:41 
посмотри shorewall.

"Сохранение правил iptables"
Отправлено Sarge , 01-Май-09 01:34 
>Дистрибутив линукса алтлинукс.
>Покажите, пожалуйста, содержимое  вашего скриптика!
>А то я попытался сделать скриптик но у он не запускается.
>Может я что то не так сделал.

я не знаю про альтлинукс, но вообще в RPM-based дистрах обычно есть сервис iptables и для сохранения правил после каждого из изменения достаточно давать команду:
service iptables save

При загрузке в таких дистрах автоматически выполняется команда:
service iptables start

"Сохранение правил iptables"
Отправлено sonkilla , 01-Май-09 09:30 
вот мой неполный конфиг фаира

cat /etc/rc.d/rc.firewall

#!/bin/sh

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_REJECT
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_pptp

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p ICMP -j ACCEPT

iptables -A INPUT -s 192.168.2.1 -d 192.168.2.254 --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.101.94 -d 195.*.*.* -j ACCEPT
iptables -A INPUT -s 192.168.101.194 -d 195.*.*.* -j ACCEPT
iptables -A INPUT -s 192.168.0.1 -j ACCEPT
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -A INPUT -s 192.168.2.1 -j ACCEPT
iptables -A INPUT -s 192.168.3.1 -j ACCEPT


iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -o eth2 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -o eth2 -s 192.168.1.2 -j ACCEPT
iptables -A FORWARD -o eth2 -s 192.168.2.3 -j ACCEPT
iptables -A FORWARD -o eth2 -s 192.168.3.4 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p ICMP -j ACCEPT
iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.0.254 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.1.150 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.2.254 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.3.254 -j ACCEPT
iptables -A OUTPUT -p ALL -s 195.*.*.* -j ACCEPT

естественно это шаблон и многое убрано но папробуйте сделать чтонибудь подобное думаю будет удобней с этим работать.

"Сохранение правил iptables"
Отправлено PavelR , 01-Май-09 10:49 

Удобнее работать с "iptables + service iptables save", или специализированными обертками, реализующими "попробуем ка так, если юзер не отвалился в результате действий и смог нажать Y то сохраним".


Допустим вам надо внести изменения в файрволл. Внесли в файл, файл "тыкнули", файр применился и заблокировал удаленный доступ. Вы звоните в саппорт, саппорт тыкает резет, и на старте отрабатывает ваш же rc.firewall.... Дальше понятно ?

"Сохранение правил iptables"
Отправлено sonkilla , 01-Май-09 12:07 
>[оверквотинг удален]
>
>Удобнее работать с "iptables + service iptables save", или специализированными обертками, реализующими
>"попробуем ка так, если юзер не отвалился в результате действий и
>смог нажать Y то сохраним".
>
>
>Допустим вам надо внести изменения в файрволл. Внесли в файл, файл "тыкнули",
>файр применился и заблокировал удаленный доступ. Вы звоните в саппорт, саппорт
>тыкает резет, и на старте отрабатывает ваш же rc.firewall.... Дальше понятно
>?

PavelR я это знаю но если вы сидите под рутом и правите настройки сети то вы должны знать что вы делаете.Если незнать что делаеш то смысл админить сервер?да и потом всегда нужно оставлять пару дырок для себя на всякий пожарный чтоб можно было войти.кто мешает дабавить правила в самый верх с двух трех айпи разрешающее ссч?

"Сохранение правил iptables"
Отправлено PavelR , 01-Май-09 17:33 
>[оверквотинг удален]
>>файр применился и заблокировал удаленный доступ. Вы звоните в саппорт, саппорт
>>тыкает резет, и на старте отрабатывает ваш же rc.firewall.... Дальше понятно
>>?
>
> PavelR я это знаю но если вы сидите под рутом и
>правите настройки сети то вы должны знать что вы делаете.Если незнать
>что делаеш то смысл админить сервер?да и потом всегда нужно оставлять
>пару дырок для себя на всякий пожарный чтоб можно было войти.кто
>мешает дабавить правила в самый верх с двух трех айпи разрешающее
>ссч?

iptables -I перепутал с -A и привет.

не ошибается тот, кто ничего не делает, так зачем же себе кислород перекрывать ?

"Сохранение правил iptables"
Отправлено Gennadi , 01-Май-09 10:42 
>Дистрибутив линукса алтлинукс.
>Покажите, пожалуйста, содержимое  вашего скриптика!
>А то я попытался сделать скриптик но у он не запускается.
>Может я что то не так сделал.

http://gennadi.dyndns.org/21.html

"Сохранение правил iptables"
Отправлено Bigbrain , 01-Май-09 10:58 
я тоже использую просто скрипт который прописываю на запуск при старте.
советую тебе сразу переменные прописать, удобней будет если захочешь использовать конфиг на другой машине или что-то измениться на этой.
EXIP = 11.11.11.11
INIP = 192.168.1.1
LNET = 192.168.1.0/24
ext = eth1
int = eth0

"Сохранение правил iptables"
Отправлено sonkilla , 01-Май-09 13:46 
Большой мозг прав так будет удобнее.
"Сохранение правил iptables"
Отправлено Webbeans , 01-Май-09 16:39 
>Привет всем!
>Имется машина на которой крутится  линукс.
>Все окей. При помощи iptables приватная сетка выходит в инет.
>Вот только одна проблема.
>После перезапуска машины iptables терят все настройки.
>Пытался сохранить настройки iptables с помощью команды iptables-save.
>Но не помогает.

вроде не рокет-сайнс:

1. iptables-save > <somefile>
2. при запуске iptables-restore < <somefile>

>Вопрос как сохранить установки Iptables так что бы после перезапуска iptables
>их сразу применял?

"Сохранение правил iptables"
Отправлено qqq , 01-Май-09 17:03 
>[оверквотинг удален]
>>Пытался сохранить настройки iptables с помощью команды iptables-save.
>>Но не помогает.
>
>вроде не рокет-сайнс:
>
>1. iptables-save > <somefile>
>2. при запуске iptables-restore < <somefile>
>
>>Вопрос как сохранить установки Iptables так что бы после перезапуска iptables
>>их сразу применял?

Вы правы.
У меня ситуация такая.
Ввожу строчку iptables -t nat POSTROUTING -o eth0 -j MASQUERADE
Сохраняю правила командами iptables-save, iptables-save>/etc/sysconfig/iptables
Делаю рестарт роутера. И после рестарта роутера смотрю правила iptables.
И вижу строчки которые были по умолчанию.
Далее дал команду iptables-restore но это не помогло. Не вижу правил которые вводил.
Что еще можно сделать?

"Сохранение правил iptables"
Отправлено BigBrain , 01-Май-09 18:45 
>Что еще можно сделать?

Послушай нашего совета. напиши баш скрипт, это просто и эфективно.
я так в свое время сделал когда через пол часа у меня так и не заработали адекватно iptables-save.
и потом. тебе часто прийдется менять правила.. например отключить фаер, или отключить отдельные его части, или отключить все но оставить НАТ. у меня например для этого лежит
/etc/iptables.base
/etc/iptables.loging
/etc/iptables.allow
/etc/iptables.off+nat
когда что-то надо проверить прочто вызываю другой скрипт. а бейс прописан в автозапуск.

"Сохранение правил iptables"
Отправлено BigBrain , 01-Май-09 18:52 
>Что еще можно сделать?

Делай скриптами, тебе тему говорят. а вот представь что тебе нужно выключить фильтр, или выключить но оставить НАТ, или или или... вариантов всегда много.
для этого сделаешь несколько скриптов а оновной поставишь в автозапуск.
например.
/etc/iptables.base
/etc/iptables.off
/etc/iptables.off+nat
/etc/iptables.loging
если че надо протестировать или лог включить, просто запускаешь другой.


"Сохранение правил iptables"
Отправлено BigBrain , 01-Май-09 18:52 
блин.. думал не отправилось
"Сохранение правил iptables"
Отправлено sonkilla , 01-Май-09 21:23 
>блин.. думал не отправилось

ничо мож лучше дойдет =)