LINUX.ORG.RU

Вопросик по iptables

 ,


1

1

Почему в Ubuntu и Debian нет скрипта для запуска и остановки iptables как это сделано в CentOS?

Вот не могу понять, при чем тут iptables

root@vesta4:/home/nommaner# iptables-save
# Generated by iptables-save v1.6.0 on Wed May  8 15:20:29 2019
*filter
:INPUT ACCEPT [1093:654471]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1072:1598429]
:f2b-sshd - [0:0]
:fail2ban-MAIL - [0:0]
:fail2ban-SSH - [0:0]
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j fail2ban-MAIL
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A f2b-sshd -s 220.132.36.160/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 5.88.161.197/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 89.46.196.137/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 193.95.24.114/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 139.59.6.148/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 201.41.148.228/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 50.227.195.3/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 198.27.81.223/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 88.84.200.139/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 188.131.170.119/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 222.122.31.133/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 207.154.254.103/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN
-A fail2ban-MAIL -s 139.28.174.99/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 139.28.174.110/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 139.28.174.155/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -j RETURN
-A fail2ban-SSH -s 220.132.36.160/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 5.88.161.197/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 89.46.196.137/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 193.95.24.114/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 139.59.6.148/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 201.41.148.228/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 50.227.195.3/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 198.27.81.223/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 88.84.200.139/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 188.131.170.119/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 222.122.31.133/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 207.154.254.103/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -j RETURN
COMMIT
# Completed on Wed May  8 15:20:29 2019

Скажите, сейчас iptabels работает, раз правила есть?

И да, похоже ее решили выпилить, новая система будет, как это мотивируется и как скоро дойдет до дебианоподобных?

Перемещено leave из talks


Почему в Debian нет скрипта для запуска и остановки iptables как это сделано в CentOS?

apt-get install iptables-persistent netfilter-persistent

Скажите, сейчас iptabels работает, раз правила есть? Да

И да, похоже ее решили выпилить, новая система будет, как это мотивируется и как скоро дойдет до дебианоподобных? nftables? Ну вроде оно уже готово для использования, в репах есть.

NobleWolf
()

iptables это утилита для настройки фаервола крутящегося в ядре, называется NetFilters, она может закинуть правило в ядро или прочиатать, не более того.

sparks ★★★
()

Вроде бы уже всё скзали. Но «Новая система», nftables, - уже есть со времён stretch. Мотивация - навести порядок в гадюшнике.

dear_amomynous_v2_1
()
Ответ на: комментарий от dear_amomynous_v2_1

спасибо, сей час как раз сижу гуглю и читаю... но в целом все понятно. Заблокировать источник я точно смогу, а все возможности я даже в iptables не использовал никогда...

Shulman
() автор топика
Ответ на: комментарий от Shulman

Оно не сложное. И, в случае с блокировкой источника, наверно, даже более простое. Плюс есть ещё всякие ништяки в виде собственного декларативного языка для описания файервола, в котором есть списки, и обновления правил за одну транзакцию.

dear_amomynous_v2_1
()

Вопросик по iptables

Talks

И зачем это в толксах?

CYB3R ★★★★★
()

А чего там запускать и останавливать? У этих сервисов задача - правила фаерволла сохранять, чтобы восстановить после ребута. При желании, можно свой наколхозить.

Meyer ★★★★★
()

Скажите, сейчас iptabels работает, раз правила есть?

Работает. Можешь модуль из ядра выгрузить, если хочешь, чтобы перестало работать.

Meyer ★★★★★
()
Ответ на: комментарий от Meyer

Оно и понятно: работает, не трогай. Я бы тоже не стал. Но если ничего ещё не настроено, то я вижу 0 причин использовать для новой конфигурации iptables.

dear_amomynous_v2_1
()
Ответ на: комментарий от Meyer

Я пробовал один раз. Столкнулся с парой багов с натом. Но сама идея, в целом, хороша. Будут ли на неё реально массово переезжать в ближайшем будущем, и вытеснит ли это дело iptables - это вопрос.

Сам пытаюсь понять, в каких продуктах сейчас nftables уже используется, и какие риски есть с существующими продуктами с переездом на новые фильтры (openwrt, например).

DawnCaster ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.