Zapis reguł firewalla iptables

Z Thomas-Krenn-Wiki
Przejdź do nawigacji Przejdź do wyszukiwania

W tym artykule opisujemy jak w Linuksie zapisać na stałe reguły iptables.

iptables-save

Reguły iptables są ustalane i edytowane z wiersza polecenia komendą iptables dla IPv4 i ip6tables dla IPv6.

Dla IPv4 mogą one zostać zapisane w pliku komendą iptables-save. 

Debian/Ubuntu: iptables-save > /etc/iptables/rules.v4
RHEL/CentOS: iptables-save > /etc/sysconfig/iptables

Ten plik może później zostać załadowany komendą iptables-restore. 

Debian/Ubuntu: iptables-restore < /etc/iptables/rules.v4
RHEL/CentOS: iptables-restore < /etc/sysconfig/iptables

Jeżeli są wykorzystywane reguły IPv6 to mogą one również zostać zapisane. 

Debian/Ubuntu: ip6tables-save > /etc/iptables/rules.v6
RHEL/CentOS: ip6tables-save > /etc/sysconfig/ip6tables

Automatyczne ładowanie skonfigurowanych reguł iptables może być zrealizowane za pomocą jednej z następujących metod:

iptables-persistent w Debianie/Ubuntu

OdUbuntu 10.04 LTS (Lucid) i Debiana 6.0 (Squeeze) dostępny jest pakiet o nazwie "iptables-persistent", który przejmuje automatyczne ładowanie zapisanych reguł iptables. Reguły muszą być zapisane w pliku /etc/iptables/rules.v4 dla IPv4 lub w /etc/iptables/rules.v6 dla IPv6.

Aby móc skorzystać z pakietu należy go jedynie zainstalować. 

apt-get install iptables-persistent

W przypadku wystąpienia błędu podczas instalacji pakietu należy sprawdzić czy systemd nie zawierał już błędu przed instalacją iptables-persisent. Może to być przyczyną problemów w trakcie instalacji.[1]

Starsze wersje pakietu iptables-persistent (np. w Debianie Squeeze) nie wspierają reguł IPv6, występuje w nich jedynie plik /etc/iptables/rules dla IPv4.

Zalecamy kontrolę, po zakończonej konfiguracji, czy reguły są ładowane po restarcie.

iptables Service w RedHat Enterprise Linux (RHEL) i CentOS

Również w RHEL/CentOS istnieje łatwa metoda zapisu reguł iptables dla IPv4 i IPv6.

Dostępna jest usługa o nazwie "iptables". Musi ona zostać włączona. 

# chkconfig --list | grep iptables
  iptables       	0:off	1:off	2:on	3:on	4:on	5:on	6:off
# chkconfig iptables on

Reguły dla IPv4 są zapisywane w pliku /etc/sysconfig/iptables, a w /etc/sysconfig/ip6tables dla IPv6. Do zapisu aktualnych reguł może również zostać wykorzystany skrypt Init. 

# service iptables save

Szczegółowe informacje na ten temat znajdują się w dokumentacji RHEL 6.

Zalecamy kontrolę, po zakończonej konfiguracji, czy reguły są ładowane po restarcie.

Odnośniki

  1. #765478 - update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults (bugs.debian.org)

Autor: Christoph Mitasch