The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Сохранение правил iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Сохранение правил iptables"  
Сообщение от qqq email(??) on 30-Апр-09, 01:18 
Привет всем!
Имется машина на которой крутится  линукс.
Все окей. При помощи iptables приватная сетка выходит в инет.
Вот только одна проблема.
После перезапуска машины iptables терят все настройки.
Пытался сохранить настройки iptables с помощью команды iptables-save.
Но не помогает.
Вопрос как сохранить установки Iptables так что бы после перезапуска iptables
их сразу применял?
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Сохранение правил iptables"  
Сообщение от Sarge (??) on 30-Апр-09, 07:09 
дистр какой?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Сохранение правил iptables"  
Сообщение от sonkilla (ok) on 30-Апр-09, 10:19 
>дистр какой?

Я непретендую на правоту маего решения но я делаю так отрубаю при загрузке iptables.
В /etc/rc.d создаю два башевских исполняемых файла rc.firewall и rc.nat в них прописываю все что нужно в rc.firewall правила фаирвола в rc.nat правила ната и вставляю все это дело в автозагрузку.плюс данного решения в том что удобней видеть все правила и редактировать их.может и вам поможет.
  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Сохранение правил iptables"  
Сообщение от qqq email(??) on 30-Апр-09, 10:47 
>>дистр какой?
>
>Я непретендую на правоту маего решения но я делаю так отрубаю при
>загрузке iptables.
>В /etc/rc.d создаю два башевских исполняемых файла rc.firewall и rc.nat в них
>прописываю все что нужно в rc.firewall правила фаирвола в rc.nat правила
>ната и вставляю все это дело в автозагрузку.плюс данного решения в
>том что удобней видеть все правила и редактировать их.может и вам
>поможет.
>

Дистрибутив линукса алтлинукс.
Покажите, пожалуйста, содержимое  вашего скриптика!
А то я попытался сделать скриптик но у он не запускается.
Может я что то не так сделал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Сохранение правил iptables"  
Сообщение от ITtadgik on 30-Апр-09, 23:41 
посмотри shorewall.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Сохранение правил iptables"  
Сообщение от Sarge (??) on 01-Май-09, 01:34 
>Дистрибутив линукса алтлинукс.
>Покажите, пожалуйста, содержимое  вашего скриптика!
>А то я попытался сделать скриптик но у он не запускается.
>Может я что то не так сделал.

я не знаю про альтлинукс, но вообще в RPM-based дистрах обычно есть сервис iptables и для сохранения правил после каждого из изменения достаточно давать команду:
service iptables save

При загрузке в таких дистрах автоматически выполняется команда:
service iptables start

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Сохранение правил iptables"  
Сообщение от sonkilla (??) on 01-Май-09, 09:30 
вот мой неполный конфиг фаира

cat /etc/rc.d/rc.firewall

#!/bin/sh

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_REJECT
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_pptp

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p ICMP -j ACCEPT

iptables -A INPUT -s 192.168.2.1 -d 192.168.2.254 --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.101.94 -d 195.*.*.* -j ACCEPT
iptables -A INPUT -s 192.168.101.194 -d 195.*.*.* -j ACCEPT
iptables -A INPUT -s 192.168.0.1 -j ACCEPT
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -A INPUT -s 192.168.2.1 -j ACCEPT
iptables -A INPUT -s 192.168.3.1 -j ACCEPT


iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -o eth2 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -o eth2 -s 192.168.1.2 -j ACCEPT
iptables -A FORWARD -o eth2 -s 192.168.2.3 -j ACCEPT
iptables -A FORWARD -o eth2 -s 192.168.3.4 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p ICMP -j ACCEPT
iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.0.254 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.1.150 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.2.254 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.3.254 -j ACCEPT
iptables -A OUTPUT -p ALL -s 195.*.*.* -j ACCEPT

естественно это шаблон и многое убрано но папробуйте сделать чтонибудь подобное думаю будет удобней с этим работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Сохранение правил iptables"  
Сообщение от PavelR (??) on 01-Май-09, 10:49 

Удобнее работать с "iptables + service iptables save", или специализированными обертками, реализующими "попробуем ка так, если юзер не отвалился в результате действий и смог нажать Y то сохраним".


Допустим вам надо внести изменения в файрволл. Внесли в файл, файл "тыкнули", файр применился и заблокировал удаленный доступ. Вы звоните в саппорт, саппорт тыкает резет, и на старте отрабатывает ваш же rc.firewall.... Дальше понятно ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Сохранение правил iptables"  
Сообщение от sonkilla (ok) on 01-Май-09, 12:07 
>[оверквотинг удален]
>
>Удобнее работать с "iptables + service iptables save", или специализированными обертками, реализующими
>"попробуем ка так, если юзер не отвалился в результате действий и
>смог нажать Y то сохраним".
>
>
>Допустим вам надо внести изменения в файрволл. Внесли в файл, файл "тыкнули",
>файр применился и заблокировал удаленный доступ. Вы звоните в саппорт, саппорт
>тыкает резет, и на старте отрабатывает ваш же rc.firewall.... Дальше понятно
>?

PavelR я это знаю но если вы сидите под рутом и правите настройки сети то вы должны знать что вы делаете.Если незнать что делаеш то смысл админить сервер?да и потом всегда нужно оставлять пару дырок для себя на всякий пожарный чтоб можно было войти.кто мешает дабавить правила в самый верх с двух трех айпи разрешающее ссч?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Сохранение правил iptables"  
Сообщение от PavelR (??) on 01-Май-09, 17:33 
>[оверквотинг удален]
>>файр применился и заблокировал удаленный доступ. Вы звоните в саппорт, саппорт
>>тыкает резет, и на старте отрабатывает ваш же rc.firewall.... Дальше понятно
>>?
>
> PavelR я это знаю но если вы сидите под рутом и
>правите настройки сети то вы должны знать что вы делаете.Если незнать
>что делаеш то смысл админить сервер?да и потом всегда нужно оставлять
>пару дырок для себя на всякий пожарный чтоб можно было войти.кто
>мешает дабавить правила в самый верх с двух трех айпи разрешающее
>ссч?

iptables -I перепутал с -A и привет.

не ошибается тот, кто ничего не делает, так зачем же себе кислород перекрывать ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Сохранение правил iptables"  
Сообщение от Gennadi email(??) on 01-Май-09, 10:42 
>Дистрибутив линукса алтлинукс.
>Покажите, пожалуйста, содержимое  вашего скриптика!
>А то я попытался сделать скриптик но у он не запускается.
>Может я что то не так сделал.

http://gennadi.dyndns.org/21.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Сохранение правил iptables"  
Сообщение от Bigbrain (??) on 01-Май-09, 10:58 
я тоже использую просто скрипт который прописываю на запуск при старте.
советую тебе сразу переменные прописать, удобней будет если захочешь использовать конфиг на другой машине или что-то измениться на этой.
EXIP = 11.11.11.11
INIP = 192.168.1.1
LNET = 192.168.1.0/24
ext = eth1
int = eth0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Сохранение правил iptables"  
Сообщение от sonkilla (ok) on 01-Май-09, 13:46 
Большой мозг прав так будет удобнее.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Сохранение правил iptables"  
Сообщение от Webbeans on 01-Май-09, 16:39 
>Привет всем!
>Имется машина на которой крутится  линукс.
>Все окей. При помощи iptables приватная сетка выходит в инет.
>Вот только одна проблема.
>После перезапуска машины iptables терят все настройки.
>Пытался сохранить настройки iptables с помощью команды iptables-save.
>Но не помогает.

вроде не рокет-сайнс:

1. iptables-save > <somefile>
2. при запуске iptables-restore < <somefile>

>Вопрос как сохранить установки Iptables так что бы после перезапуска iptables
>их сразу применял?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Сохранение правил iptables"  
Сообщение от qqq email(??) on 01-Май-09, 17:03 
>[оверквотинг удален]
>>Пытался сохранить настройки iptables с помощью команды iptables-save.
>>Но не помогает.
>
>вроде не рокет-сайнс:
>
>1. iptables-save > <somefile>
>2. при запуске iptables-restore < <somefile>
>
>>Вопрос как сохранить установки Iptables так что бы после перезапуска iptables
>>их сразу применял?

Вы правы.
У меня ситуация такая.
Ввожу строчку iptables -t nat POSTROUTING -o eth0 -j MASQUERADE
Сохраняю правила командами iptables-save, iptables-save>/etc/sysconfig/iptables
Делаю рестарт роутера. И после рестарта роутера смотрю правила iptables.
И вижу строчки которые были по умолчанию.
Далее дал команду iptables-restore но это не помогло. Не вижу правил которые вводил.
Что еще можно сделать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Сохранение правил iptables"  
Сообщение от BigBrain on 01-Май-09, 18:45 
>Что еще можно сделать?

Послушай нашего совета. напиши баш скрипт, это просто и эфективно.
я так в свое время сделал когда через пол часа у меня так и не заработали адекватно iptables-save.
и потом. тебе часто прийдется менять правила.. например отключить фаер, или отключить отдельные его части, или отключить все но оставить НАТ. у меня например для этого лежит
/etc/iptables.base
/etc/iptables.loging
/etc/iptables.allow
/etc/iptables.off+nat
когда что-то надо проверить прочто вызываю другой скрипт. а бейс прописан в автозапуск.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Сохранение правил iptables"  
Сообщение от BigBrain on 01-Май-09, 18:52 
>Что еще можно сделать?

Делай скриптами, тебе тему говорят. а вот представь что тебе нужно выключить фильтр, или выключить но оставить НАТ, или или или... вариантов всегда много.
для этого сделаешь несколько скриптов а оновной поставишь в автозапуск.
например.
/etc/iptables.base
/etc/iptables.off
/etc/iptables.off+nat
/etc/iptables.loging
если че надо протестировать или лог включить, просто запускаешь другой.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Сохранение правил iptables"  
Сообщение от BigBrain on 01-Май-09, 18:52 
блин.. думал не отправилось
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Сохранение правил iptables"  
Сообщение от sonkilla (ok) on 01-Май-09, 21:23 
>блин.. думал не отправилось

ничо мож лучше дойдет =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру