OpenSUSE, как штатными возможностями yast2 изменить дефолтное правило iptables

Меняешь в консоли. Не забудь сделать iptables-save.

Ну тут, очевидно,что после перезагрузки машины все изменения пропадут, а мне надо что бы правило было изменено перманентно

Понятия не имею, что это за яст2, но такие вещи делаются через юниты и пихаются в автозазгузку.

Найди в каком файле хранятся правила, исправь.

Не забудь сделать iptables-save.

Подозреваю, что тебе нужно на само деле настроить firewalld. GUI к нему есть в Yast. если не хватит каких-то возможностей - есть firewall-cmd.

Если хорошенько угореть и поймать нужные лучи из космоса, то можно все настроить в /etc/sysconfig/SuSEfirewall2

https://ru.opensuse.org/SuSEfirewall2

Да именно в этом сейчас и копаюсь достаточно давно уже. Вот только пока нет нужных лучей из космоса. При замене нужного параметра в /etc/sysconfig/SuSEfirewall2 не меняется правило в IPTABLES. Непонятно они вообще как-то взаимодействуют?

Выше правильно сказали, что нужно копать в сторону firewalld. В последних версиях susefirewall2 не используется, во всяком случае по умолчанию, и yast его больше не поддерживает.

Поясню: там есть правило FW_REJECT_INT=«no» что не совсем то, что мне нужно, я добавляю FW_REJECT_EXT=«no»(вроде как то что нужно), рестарчу файвол, проверяю iptables-save и вижу все то же -A reject_func -j REJECT –reject-with icmp-proto-unreachable.

Нет тут firewalld, система достаточно древняя

Тогда там где-то можно пользовательские хуки добавлять, где-то в /etc/sysconfig/scripts, но по умолчанию это выключено, и бит исполнения не стоит.

Вот нету у меня сейчас суси под рукой, что проверить и что-то конкретное посоветовать. Разве что проверьте, пришит ли ваш сетевой интерфейс к нужной зоне. Или может его к внутренней пришить принудительно, если это допустимо в ваших условиях.

Добавил туда нужное мне правило, там уже был файл с примерами, включил в конфиге и.. ничего все по-прежнему.. хм

Разве что проверьте, пришит ли ваш сетевой интерфейс к нужной зоне. Или может его к внутренней пришить принудительно

Пока не совсем понимаю о чем именно речь, это тут проверять /etc/sysconfig/SuSEfirewall2

Надо его в конфиге susefirewall2 включить еще, и chmod +x сделать. Точнее не скажу, не помню.

Разумеется это все сделал

Я плохо помню, как именно работает susefirewall2. Возможно, он создает кастомные цепочки, и правила надо на самом деле добавлять в них. Плюс, там еще важен порядок в котором они добавляются. Смотри вывод iptables -L и проверяй куда именно добавилось правило, и добавилось ли вообще.

Я когда-то давно именно через кастомный хук добавлял правила для мультикаста, и это точно работало.

Смотри вывод iptables -L и проверяй куда именно добавилось правило, и добавилось ли вообще.

Нет не добавилось, не изменилось текущее

Это в конфиге

Type: string 25.)

Do you want to load customary rules from a file? This is really an expert option. NO HELP WILL BE GIVEN FOR THIS! READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom

#FW_CUSTOMRULES=«/etc/sysconfig/scripts/SuSEfirewall2-custom»

FW_CUSTOMRULES=«/etc/sysconfig/scripts/SuSEfirewall2-custom»

Это в scripts

#example: allow incoming multicast packets for any routing >protocol

#iptables -A INPUT -j ACCEPT -d 224.0.0.0/24

iptables -A reject_func -j DROP

Ну и разумеется все перезапустил… не помогло

Я про это https://ru.opensuse.org/SuSEfirewall2#.D0.97.D0.BE.D0.BD.D1.8B_.D0.B1.D1.80.D1.8D.D0.BD.D0.B4.D0.BC.D0.B0.D1.83.D1.8D.D1.80.D0.B0

Тут все норм FW_DEV_EXT=«any eth0»

Пробовал так же FW_DEV_INT=«eht1 eth0»

Сходи на телеграмм-канал сусятников, большинство их там заседает

В общем вчера так ничего и не получилось, а сегодня утром обнаружил что нужные мне правила таки подтянулись из хука, сервер при этом никто не трогал, такие дела. Спасибо всем кто делился информацией!