Administrace komentářů

Posledni vec ktera mi neni uplne jasna... v jakem formatu se ulozi pravidla do souboru muj_firewall pomoci iptables-save? Klasicky textovy ktery mohu editovat a pripadne tam pravidla dopsat? To pochybuju kdyby to tak bylo byly by prikazy iptables-save/restore asi zbytecne ze?

Ten formát vás nemusí zajímat, pracují s ním jen příkazy iptables-save a iptables-restore. Jinak je to ale čistě textový formát, který má syntaxi velmi podobnou tomu, jak vypadá zápis pravidel pro příkaz iptables. Takže s trochou opatrnosti jej upravíte i v textovém editoru – ale to je zbytečné, vizte dále.

A malem bych zapomnel... Kdyz uz ta pravidla mam aplikovana(tzn po prikazu iptables - restore) tak je zmenim? To musim zase vsechno vypsat do konzole a pak celou proceduru udelat znova?

Ne, po iptables-restore máte firewall ve stejném stavu, jako byste ta pravidla nahrál přes jednotlivé příkazy iptables. Takže prostě jen dalšími příkazy iptables nastavení firewallu změníte a pak nastavení znova uložíte pomocí iptables-save.

Například, nejprve si nastavíte firewall tak, aby v příchozí komunikaci povoloval pokračování v navázaných spojeních a připojení na port 22 a 80 a uložíte:

iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP
iptables-save > /etc/muj-firewall

Pak můžete třeba tisíckrát spustit iptables-restore a nastavení firewallu se vždy obnoví. Pak se vzpomenete, že chcete firewall upravit – přístup na port 80 zakážete a povolíte port 443. Nejprve si vypíšete aktuální stav firewallu, zjistíte, který řádek chcete vymazat (ten s pravidlem pro port 80) a přidáte nové pravidlo.

iptables --line-numbers -nvL
iptables -D INPUT 3 #chcete smazat 3. pravidlo v INPUT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Teď máte firewall nastaven do nového požadovaného stavu, otestujete jej a když jste spokojen, zase jeho stav uložíte:

iptables-save > /etc/muj-firewall

Druha moznost reseni podle me mnohem jednodussi bez utilit jako iptables save/restore:

1) Vytvorim si soubor muj_firewall a do neho napisu prikazy iptables jako napr iptables -A INPUT -s xxx.xxx.xxx.xxx --destination-port 22 -j ACCEPT

2) Pomoci update-rc.d muj_firewall default ho dostanu do do /etc/init.d/ a do /etc/rcX.

Pri kazdem startu PC se vykonaji prikazy ulozene v muj_firewall. Tato vyrianta mi prijde mnohem jednodussi - nebo v ni snad vidite nejakou slabinu?

Výhod je několik. iptables-restore je pravděpodobně atomická operace, takže firewall je nejprve v jednom stavu, a pak hned v druhém. Pokud zadáváte pravidla postupně přes iptables, aplikují se postupně – takže je možné, že třeba nejprve nastavíte výchozí politiku na DROP a za pár sekund povolíte pravidlem SSH spojení – jenže mezitím bylo pár sekund SSH spojení zakázáno a spojení se přerušilo (a nemáte jak zadat to druhé pravidlo). Toto je samozřejmě extrémní případ, ale obecně není moc dobré mít firewall v nějakém mezistavu.

Za druhé, když budete pokaždé znova spouště skript nastavující firewall pomocí příkazů, budete muset řešit problém, jak skript otestovat. Buď jej testovat nebudete, a pak až při příštím restartu zjistíte, že jste omylem zakázal přístup k nějaké důležité službě – třeba k SSH a musíte jet fyzicky k serveru. S iptables-restore se tomu snadno vyhnete – třeba přes příkaz at si nastavíte, ať se za 5 minut obnoví vaše dosavadní nastavení firewallu. Pak přes iptables nastavení změníte a vyzkoušíte. Když funguje, načasovanou akci obnovení firewallu zrušíte, když nefunguje a třeba jste se odpojil, počkáte 5 minut, až se pravidla obnoví.

Druhá možnost je testovat skript tím, že jej při každá změně zkusíte spustit. Pak máte ale stejný problém jako v předchozím případě s tím, že se můžete od počítače snadno odstřihnout. Druhý problém je v tom, že při testování nebudete skript aplikovat na firewall ve stejném stavu, jako při startu počítače. Tj. musíte na začátek skriptu přidat výmaz všech uživatelských řetězců a nastavení všech výchozích hodnot. Jenže pak budou iptables zase při startu PC řvát, že mažete neexistující řetězec (a nejlépe vám to init systém pošle e-mailem), jednak hrozí, že při mazání na něco zapomenete, pak vám při testování bude skript fungovat (protože jste nějaké pravidlo zapomněl vymazat a pak nastavit, ve firewallu tedy zůstane), ale po restartu už bude firewall nastavený špatně (protože to nastavující pravidlo tam prostě bude chybět).

Proto je lepší používat kombinaci iptables-save a iptables-restore – vytvářet skript s voláním iptables je jen složitější a jsou tam zbytečná rizika.