У мене зараз цей фрагмент:
# flush all chains
iptables -F
iptables -t nat -F
iptables -t mangle -F
# delete all chains
iptables -X
Чи є ймовірність, що якесь непроникне правило залишиться в живих після запуску цього?
Ідея полягає у тому, щоб мати повністю чистий конфігурацію iptables, який можна легко замінити новим набором правил (не враховуючи маршрути / параметри ifconfig).
Відповіді:
Щоб відповісти на ваше запитання лаконічно, ні: після промивання кожної таблиці не було б ніяких правил "залишків". В інтересах бути ретельним, можливо, ви також можете встановити політику для вбудованих INPUTі FORWARDланцюгів ACCEPT:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X
Очистити правила ip6tables:
ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -t nat -F
ip6tables -t mangle -F
ip6tables -F
ip6tables -X
... і це має робити. iptables -nvLповинен отримати такий (або дуже подібний) вихід:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
there would not be any "leftover" rules after flushing every tableОП не замикає кожну таблицю. Ні ти. Ось як це виглядає, якщо ви хочете бути ретельними . І ви можете додати iptables -t "$table" -Z. Зверніть увагу, що таким чином ви жорстко кодуєте список таблиць та їх ланцюгів. Тож я б серйозно розглядав рішення збереження-відновлення . Або ви можете просто завантажити iptables .
Це правильно повністю скине систему iptables до дуже базового стану:
iptables-save | awk '/^[*]/ { print $1 }
/^:[A-Z]+ [^-]/ { print $1 " ACCEPT" ; }
/COMMIT/ { print $0; }' | iptables-restore
Усі політики будуть скинуті до ACCEPT, а також очищення кожної таблиці в поточному використанні. Усі ланцюги, крім вбудованих ланцюгів, більше не існуватимуть.
iptablesявно надає інструмент, IMO.
print $1з print $0бути послідовним :)
Щоразу, коли мені потрібен відключений брандмауер, є щось подібне:
iptables-save > iptables.bakservice iptables stop (я на Fedora)Ви можете просто вивантажити iptables'модулі з ядра:
modprobe -r iptable_raw iptable_mangle iptable_security iptable_nat iptable_filter
UPD На жаль, занадто добре, щоб бути правдою. Поки в таблиці є правило або ланцюжок, визначений користувачем, відповідний номер модуля дорівнює 1, і modprobe -rне працює. Ви можете видалити правила та визначені користувачем ланцюги, наприклад:
echo $'*raw\nCOMMIT\n*mangle\nCOMMIT\n*security\nCOMMIT\n*nat\nCOMMIT\n*filter\nCOMMIT' | iptables-restore
або:
iptables-save | awk '/^[*]/ { print $1 "\nCOMMIT" }' | iptables-restore
Також ви можете розблокувати модулі таким чином (без імен модулів жорсткого кодування):
lsmod | egrep ^iptable_ | awk '{print $1}' | xargs -rd\\n modprobe -r
З іншого боку, після цього iptables-saveвиходить приємний порожній вихід :)
Це можна зробити за допомогою 1 або 2 команд:
$ sudo iptables-save > iptables.bak
$ sudo iptables -F
Результат:
$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 3138 packets, 5567K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 3602 packets, 6547K bytes)
pkts bytes target prot opt in out source destination
Нещодавно мені довелося перекрити всі з'єднання, чим я закінчився
iptables-policy INPUT DROP
iptables-policy OUTPUT DROP
iptables-policy FORWARD DROP
що стосується економії, я рекомендую наступне
Ubuntu:
/etc/init.d/iptables save
/sbin/service iptables save
RedHat / CentOS:
/etc/init.d/iptables save
/sbin/iptables-save
Окрім резервного копіювання всіх поточних правил ufw, Ive використовував це в минулому
cp /lib/ufw/{user.rules,user6.rules} /<BACKUP LOCATION>
cp /lib/ufw/{user.rules,user6.rules} ./
Я думаю, що це може бути корисним для подальшого використання. Думав, що поділюсь.