LINUX.ORG.RU
ФорумAdmin

Автозапуск скриптов iptables

 


0

1

CentOS.

помимо самого /etc/sysconfig/iptables

есть еще пару файлов с настройками фаервола *.conf, которые добавлены в автозагрузку /etc/rc.local.

1) Если я выполню команду service iptables restart, то применяться ли настройки тех дополнительных файлов?

2) Или как можно применить не перезагружаясь, какой то отдельный файл с настройками iptables ?

Если я выполню команду service iptables restart, то применяться ли настройки тех дополнительных файлов?

Нет.

Если я выполню команду service iptables restart, то применяться ли настройки тех дополнительных файлов?

Смотря, что у вас в этом файле с настройками.

Если у вас там вызов iptables с ключами добавления правил, ну т.е. что-то вроде:

iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.xxx/yy -j MASQUERADE
то вы можете просто выполнить это скрипт и в текущие загруженные правила будут добавлены правила, добавляемые вызовами iptables.

Если у вас там сохранены подготовленные правила iptables посредством вызова iptables-save > some_file, то вы можете их просто загрузить посредством iptables-resote:

iptables-restore some_file

Но тут есть нюанс, в первом случае правила будут добавлены к текущим уже загруженным правилам, но то будет правило работать или нет зависит от его расположения в цепочках, т.е. если выше есть правило, которое подходит для обработки какого-либо пакета, то ниже добавленное правило, которое тоже должно обрабатывать этот пакет, но находится в той же цепочке, отрабатывать уже не будет.

Во втором случае уже загруженные правила будут просто заменены правилами, которые сохранены в файле.

Отсюда вывод либо вы можете вместо перезапуска сервиса iptables просто загружать правила в ручную, либо можете запустить сервис iptables с базовыми правилами, затем добавить / убрать нужные вам правила, а затем вызвать сервис iptables с параметром save или другим аналогичным, что бы текущие загруженные правила сохранились и затем загружались простым запуском сервиса iptables.

Ну либо можете его вообще не запускать, а написать скрипт, в котором будете сами грузить свои правила.

kostik87 ★★★★★ ()

Или как можно применить не перезагружаясь, какой то отдельный файл с настройками iptables ?

Дак это у автора того /etc/rc.local спрашивать надо. А ещё лучше заставить его написать нормальные service-файлы (/etc/init.d/*), понимающие не только на start, но и на restart (удаление старых правил и запись новых).

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.