IPtables jak se mazou uricta pravidla?

man iptables, je to hned nahoře ;)

Smazat pravidlo lze --delete chain pravidlo, kde pravidlo je buď číslo v chainu nebo přesně to pravidlo, co se má smazat. Nahradit pravidlo lze --replace, ale jen podle čísla (protože by z argumentů nešlo poznat, co je pravidlo k nahrazení a co nové pravidlo). Často je jednodušší flushnout celý chain a vytvořit ho znovu, i když je to race condition...

8.5.2004 12:02 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

iptables stop

edit /etc/rc.d/init.d/iptables

(pridam, opravim....)

iptables save

iptables start

Je na tom neco spatneho ? Ten postup od Davida jsem jeste nezkousel. Rozdil ? Diky

Taky si udělám nějakou studii.

8.5.2004 12:36 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

Race condition.

iptables stop na začátku shodí firewall. To je dost špatný postup, obvzlášť je blbost shazovat ho ještě před editací (ať už ruční nebo programem), během které by mohl spokojeně běžet.

Lepší nahození firewallu je idempotentním skriptem (který začíná resetováním všeho na DROP), takže postup je: editace (/etc/rc.d/init.d/iptables nepovažuji za vhodné místo k definici pravidel), nahození fw.

Někomu ale může vadit i ta chvilka, kdy se pro změnu všechno DROPuje. Pokud potřebuji do fw dynamicky zasahovat, mám tam k tomu samostatné chainy jen pro dynamická pravidla (volaná --jumpem z jiných chainů), takže je mohu snadno měnit.

Zdravim

Ja teda z principu nepouzivam zadne zbesilosti typu iptables save atd.

Mam skript rc.firewall (ano, slackware..) kde mam sekce start a stop. Ve start mam na zacatku

iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP

a za tim normalni pravidla. Kdyz chci neco zmenit tak to ve skriptu normalne prepisu a spustim s parametrem start.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

9.5.2004 11:04 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

Ovšem pokud tam nadelas dalsi chainy nebo jak se to jmenuje tak je nesmažeš :-)

Třeba vyprázdnit všechna pravidla se musí nějak takhle:


IPTABLES=iptables
IPV=${IPTABLES%tables} # ip for ipv4 | ip6 for ipv6
PROC_IPTABLES_NAMES=/proc/net/${IPV}_tables_names


flush_n_delete() {
    # Flush firewall rules and delete chains.
    [ -e "$PROC_IPTABLES_NAMES" ] || return 1

    # Check if firewall is configured (has tables)
    tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null`
    [ -z "$tables" ] && return 1

    echo -n $"Flushing firewall rules: "
    ret=0
    # For all tables
    for i in $tables; do
        # Flush firewall rules.
	$IPTABLES -t $i -F;
	let ret+=$?;

        # Delete firewall chains.
	$IPTABLES -t $i -X;
	let ret+=$?;

	# Set counter to zero.
	$IPTABLES -t $i -Z;
	let ret+=$?;
    done

    [ $ret -eq 0 ] && success || failure
    echo
    return $ret
}

9.5.2004 11:31 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

To první iptables -F dělá pro filtrující firewall (tj. bez NATu a mangle) v podstatě vše potřebné ;-) Akorát ti tam mohou zůstat prázdné chainy odminula, takže aby ses zbavil i jich, stačí

iptables --flush
iptables --delete-chain

Nepovažuji za obvzlášť dobrý nápad míchat NAT a filtr, lepší je pěkně každé ve svém skriptu, který lze spustit samostatně, ten NATový pak má samozřejmě navíc -t nat.

9.5.2004 13:00 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

panove panove panove, sokujete me a strasite me. Chcete tim vsim, co jste tu vysipali risi, ze pokud mam primo v souboru rc.local iptables -P input DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

samozrejme povoleno predavani packetu a preklad NAT,

pak vsechny retezce INPUT, ochranu proti DoS, synflood, mangle,forwarding, optimalizace flagu...

vsechny retezce output....

A spisteneho daemona iptables, ze to je spatne reseni? Nepouzivam zadne skripty pro doplnovani do IPtables...Vse resim manualne. Je to prvni reseni, se kterym jsem se setkal a zustal u nej... Pokud doplnuji do rc.local, pokazde dam restartovat PC a je to.

Pouzivam Fedoru. Dik za odpovedi.

Taky si udělám nějakou studii.

9.5.2004 13:01 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

pardon oprava chyb:" vysypali a rici"

Taky si udělám nějakou studii.

9.5.2004 13:06 jm
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

Restartovat PC? Proboha proc?????

9.5.2004 13:29 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

Na fedoře je to uplně jednoduché viz:

http://soban.wz.cz/linux/firewall.html http://soban.wz.cz/linux/firewall2.html

Myslím že je to tam popsáno pěkně i pro BFU i když jeden to nepochopil a pořád ty pravidla psal do spoštěcích skriptů /etc/rc.....

Platí to pro RH i pro FC :-)

(zmínka je tam pouze o RH9)

9.5.2004 14:18 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

Žádný démon iptables není. iptables jen nastaví tabulky v jádře a skončí.

Do rc.* nepíšu zásadně nic (pokud nejsem na Slackware ).

[RH, FC, MDK, ...] Fw nahazuji samostatným skriptem, service iptables save to následně uloží do /etc/sysconfig/iptables, takže když JME vypne proud, nenahodí se po bootu nějaký nesmysl.

Pokud jde o nějaký triviální firewall (na desktopu a pod.), edituji rovnou /etc/sysconfig/iptables a pak spustím service iptables start, což ho natáhne.

10.5.2004 08:14 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: IPtables jak se mazou uricta pravidla?

No, jo, jede to i pomoci skriptu, o kterem vsichni pisete. Jen by me zajimalo bezpecnostni riziko, nebo jine riziko spojene se zapsanim firewall.pravidel do rc.local. Diky

Taky si udělám nějakou studii.

Dotaz: IPtables jak se mazou uricta pravidla?

Odpovědi