Реадктирование iptables в Debian вручную

Странно - что-то и сервисах iptables не видать - он что, по умолчанию не становится?
Тут настоящие дебианщики есть, или такие же как и я? :)))

iptables это интерфейс в ipfilter, а последний — часть ядра.

никакого конфига нет. service iptables restart эта команда парсила конфиг и дёргала iptables.

Ты всё перепутал, это в RH всё через жопу, а в дебе нормально.

Ну ничего, скоро будешь через systemd.

Ладно, а почему же не вижу iptables в сервисах?
Проверял - iptables проинсталлирован!

Потому что это не CentOS.

М-да, тяжко перепревыкать к другому, когда уже другие привычки вьелись.

А есть такие среди вас, кто умеет и в Центос, и в Дебиан? :))

А есть такие

Для этого есть теги debian, centos, iptables.

Тег firewall имел бы смысл на винфаке.

Не настоящий дебианщик. Но вот: https://wiki.debian.org/iptables , либо сами прописывайте загрузку правил, либо поставьте пакет iptables-persistent http://www.pivpav.ru/post/134 .

Ладно, о всезнающие :))
Подскажите пока, как временно стопануть iptables в этом гребаном замечательном Дебиане?

(править его правила пока боюсь, потому что комп очень удаленный, и если где сдуру накосячу, потеряю (тьфу!-тьфу!-тьфу!) доступ по ssh)

http://blog.amet13.name/2014/04/iptables.html

редактирую /etc/sysconfig/iptables, а потом перезпускаю сервис service iptables restart

Да ты рисковый :) Один раз ошибёшся и бежать до консоли.

Уж лучше сначала править правила руками, если после этого доступ по ssh остаётся, то можно их записывать (service iptables save), а иначе звонить и просить ребутнуть сервак (ну или вешать перед правкой скрипт, сделающий ребут через 5 минут).

Не, парни, вы не поняли: мне сейчас ничего не надо править, а нужно всего лишь временно остановить работу iptables.

В ругаемом вами Центосе это делаю легко:

service iptables stop

А как это же делается в вашем прелестном Дебиане? :))

И чо, я таким простым вопросом поставил ЛОР в патовое положение? :))

Неужто в таком замечательном Дебиане такой команды нет?

Нельзя остановить iptables в Debian. Это интерфейс к netfilter. Нужно просто почисить поавила.

fwbuilder

Неужто в таком замечательном Дебиане такой команды нет?

Как уже было сказано iptables-persistent спасет отца русской демократии.

service iptables restart.
Хочу также делать и в Дебиане, но что-то такой конфиг не наблюдается...

Шта? Есть netfilter, который кусок ядра и манипулирует ip-пакеты. Есть iptables, который юзерспейсная программа для настройки netfilter. Демона iptables, который можно было бы перезапустить, в линуксах отродясь не было, вы там в этом вашем центосе совсем обкурились.

В дебиане есть пакет iptables-persistent, который конфиг из /etc/iptables/ после ребута восстанавливает.

И чо, я таким простым вопросом поставил ЛОР в патовое положение? :))

да. Потому что я те ответил: iptables это просто интерфейс к ядру, что-бы ядро знало, как пакетами сетевыми рулить.

Никакого «сервиса iptables» не существует. Это RH для удобства сделало.

--flush в манах смотри.

Нельзя остановить iptables в Debian.

Чего-чего?? Как это нельзя остановить? Почему в Центосе можно, а тут - нельзя??

И кто тут говорил, что в Центосе всё делается через жопу?
Похоже, как раз наоборот потому что в Центосе я не ограничен в правах, а тут - дурацкие запреты!

И еще. Из хрестоматии еще 60-х годов:

Настройка системы UNIX осуществляется правкой конфигов.

Это аксиома. Стандарт. Для всех никсов и нормальных линуксов.
И поэтому в Центосе я могу запросто редактировать конфиг iptables.
И остановить/запустить сервис iptables.

А в Дебиане (дожили!) - нельзя!!

Резюме: именно в Центсе многое сделано по-человечески, а в вашем Дебиане - через жопу.

И поэтому в Центосе я могу запросто редактировать конфиг iptables.

У iptables нет конфигов. Вообще. Но ты продолжай жить в своём уютненьком мирке.

Даже больше скажу, и в RHEL нельзя. Просто в RHEL сделали демон который называется iptables и работает посредством, чем бы вы думали? iptables.

Курить для просветления - https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html...

Именно потому что уютный, в нем и живу.
Или что, у дебиановцев есть какая-то садистская страсть делать все как можно неудобнее?

Бля, битый час пытаюсь настроить удаленный комп, в Центосе давно бы настроил и лег спать.

Страдания не от того что дебиан плохой, а от того что лезете в то в чем не разбираетесь.

// Как же у меня бомбит.

Хусим, ничего не понимаю в этом Дебиане с его паталогическими извращениями, поэтому пойду на риск:

- какую в нем дать команду iptables, чтобы получить доступ к удаленному компу (ноутбук) по порту tcp-5900 ?

(риск в смысле потери доступа по ssh)

Или что, у дебиановцев есть какая-то садистская страсть делать все как можно неудобнее?

УМВР. А ты будто с виндовсов только что слез, «Ой, а почему мне не надо нажимать ПУСК, чтобы выключить компьютер?»

Бля, битый час пытаюсь настроить удаленный комп, в Центосе давно бы настроил и лег спать.

Ну вот и настраивал бы центос. Сам себе злобный буратина.

(править его правила пока боюсь, потому что комп очень удаленный, и если где сдуру накосячу, потеряю (тьфу!-тьфу!-тьфу!) доступ по ssh)

man iptables-apply

NB: iptables-apply — одна из тех немногих вещей, которыми дебиан лучше центоси.

Ну вот и настраивал бы центос. Сам себе злобный буратина.

Скажу честно. Много лет на Центосе. Все устраивало.
Но сейчас заметался. Причина - Центос стал в одних руках, примерно как венда. И поэтому доверие к нему подорвано.

Другое дело Дебиан, который делает СООБЩЕСТВО.
Т.е. он ничей и в тоже время общий.
А значит, шанс, что в него впиндюрат закладки/бекдюры, намного меньше.

Вот в этом вижу его неоспоримый плюс!

Но блин удобства в нем.... уже познакомился с «некоторыми».

Мосье, ну дык что с этим?

- какую в нем дать команду iptables, чтобы получить доступ к удаленному компу (ноутбук) по порту tcp-5900 ?

какую в нем дать команду iptables, чтобы получить доступ к удаленному компу (ноутбук) по порту tcp-5900 ?

Я не знаю, как ты это там в центоси настраивал, а линуксах тебе надо разрешить и входящие и исходящие пакеты. Это тебе надо добавить правила в цепочки INPUT и OUTPUT. В зависимости от содержимого этих цепочек, а так же от того, дропаются ли пакеты по дефолту или нет, последствия случайного ввода команд я предсказывать отказываюсь. Читай маны.

Впрочем можно выкинуть все правила нафиг и разрешить всё.

sudo iptables -P INPUT ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -F

sudo iptables -P INPUT ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -F

и это будет работать как - навсегда, или до первого ребута?

и это будет работать как - навсегда, или до первого ребута?

Я не знаю, что у тебя уже настроено. Когда линуксовое ядро загружается, netfilter девственно чист и всё разрешает. Потом все правила настраиваются из юзерспейса. Если ты в автозапуск ничего не добавлял и пакет iptables-persistent не ставил, то после перезапуска доступ у тебя будет ко всему. Если ставил iptables-persistent, то сделай, как я выше написал, а потом

dpkg-reconfigure iptables-persistent

В зависимости от содержимого этих цепочек, а так же от того, дропаются ли пакеты по дефолту или нет, последствия случайного ввода команд я предсказывать отказываюсь.

Впрочем, если так, то ну его нах. В таком случае придется на сегодня от этой затеи отказаться - потеря ssh это фатально.

Придется долго и нудно читать эти блядские дебиановские маны.

---
Говорите, не знаете, как в Центоси? Расказываю, чтобы вам было стыдно за свой дубовый Deb с его изьебами:

ввожу в /etc/sysconfig/iptables всего одну волшебную строку:

-A INPUT -m state --state NEW -m tcp -p tcp --dport 5900 -j ACCEPT

рестартую сервис - и вуаля!

ввожу в /etc/sysconfig/iptables всего одну волшебную строку:

-A INPUT -m state --state NEW -m tcp -p tcp --dport 5900 -j ACCEPT

Вводите то же самое в Дебиане, напрямую в iptables и вуаля )). Надо только проследить чтобы правило было выше по списку блокирующего. Повторюсь iptables-persistent в Дебиане делает тоже самое, что и демон iptables в рхел, в центосе вероятно также. Хотите файлики и автозагрузку правил - iptables-persistent.

-A INPUT -m state --state NEW -m tcp -p tcp --dport 5900 -j ACCEPT

Ну блджад, если ты считаешь, что это будет работать, то сделай так:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 5900 -j ACCEPT

Потом поставишь iptables-persistent, при установке, он тебя спросит, сохранить ли это всё. Сохраняет он в привычном для тебя формате в /etc/iptables/чего-то там.

Вводите то же самое в Дебиане, напрямую в iptables и вуаля ))

Гм. В каком смысле вводите, куда?
В Центосе я вожу свою строку в конфигурационный файл.
А в Дебиане такого файла нет! О чем я и спрашивал с самого начала.

ptables-persistent, насколько понял, это некий дополнительный костыль, который по дефолту в Дебиане не идет?
А хотелось все же использовать 'штатные средства'!

Сохраняет он в привычном для тебя формате в /etc/iptables

Дык нету в Дебиане такого конфига, в который раз повторяюсь... Я с этого и начал: думаю, найду этот файлик, подредактирую и усё! А нет - получилось фигвам, потомушта конфига нет.

Гм. В каком смысле вводите, куда?

Прямо в командную строку.

насколько понял, это некий дополнительный костыль,

Точно такой же костыль, как и демон в рхел. Просто по умолчанию не стоит. Анонимный товарищ дельный совет дал, прям как для младенца разжевал.

Хочу редактировать его вручную, а потому перезапускать сервис.

Не, парни, вы не поняли: мне сейчас ничего не надо править

Замечательно. Раз не надо, дак можно всем спать пойти, расходимся.

В ругаемом вами Центосе это делаю легко:

В ругаемом вами дебиане это делаю непосильным трудом:

aptitude install iptables-persistent
service iptables-persistent save
service iptables-persistent flush

Разница с RH в том, что если политики в таблицах ″raw″, ″mangle″, ″nat″ установлены не в ACCEPT, то может быть потерян доступ.

ввожу в /etc/sysconfig/iptables всего одну волшебную строку:

При этом нужно понимать, что если кто-то конфигурировал сервак до вас, то и в славном цементосе ″service iptables″ может быть убран из запуска при boot'е или правила iptables могут переписываться из /etc/rc.local. И ваша волшебная строка не переживёт перезагрузку.

Поэтому будет ли в вашем дебиане запускаться iptables-persistent при перезагрузке системы и не будут ли загружаемые им правила iptables переписываться каким-нибудь скриптом, вам изучать отдельно.

apt-get install iptables-persistent

Правила в формате iptables-save:

/etc/iptables/rules.v4
/etc/iptables/rules.v6

Перегрузить правила:

service iptables-persistent reload

Гм. В каком смысле вводите, куда?

В консоль, блджад.

Объясняю ещё раз.

Есть netfilter. Это чать ядра линукс, которую ты используешь в качестве фаервола. Она хранит свои настройки в оперативной памяти. Когда ты перезагружаешь компьютер, содержимое оперативной памяти теряется, соответственно теряются и настройки netfilter. В центоси это точно так же. Потому что это линукс.

Есть iptables. Это программа, которая умеет менять настройки netfilter, которые хранятся в оперативной памяти. Ты её запускаешь в консоли вот так:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 5900 -j ACCEPT

Есть программы iptables-save и iptables-restore. iptables-save читает настройки netfilter из оперативной памяти и выводит их в стандартный вывод. iptables-restore читает настройки из стандартного ввода и пишет их в оперативную память. Чтобы настройки netfilter не терялись надо перед перезагрузкой в консоли сделать так:

iptables-save > ~/moi_nastrojki.txt

iptables-restore < ~/moi_nastrojki.txt

Чтобы не загружать настройки каждый раз вручную, дебиановцы написали скрипт iptables-persistent. Этот скрипт после каждой перезагрузки автоматически делает так:

iptables-restore /etc/iptables/rules.v4

А редхат начал плодить сервисы, которые вовсе даже не сервисы, называть их именем других программ, да и там вместо service netfilter restart сделал service iptables restart. Потому что это чудаки.

Ладно-ладно. Всем спасибо!
Все равно, как бы не хотелось расставаться с привычками, буду медлеееено переползать на Debian.

На сегодня удаленный ноут вместе с владельцем завалились спать, так что 2-я часть марлезонского балета переносится на... неопределеное время :)