Як ви перевіряєте правила iptables, щоб запобігти віддаленому блокуванню та перевірці відповідності?

Коли я дізнаюся про iptables, я допустив кілька помилок і закрив себе.

Який метод (и) ви використовуєте для тестування правил, не замикаючись?

Я використовую сервер ubuntu 12.04 LTS

Усі відповіді нижче були корисними. Врешті-решт я використав комбінацію варіантів. Це також допомагає мати доступ IPMI до віддаленого сервера на всякий випадок! Але в ідеалі випробовуйте правила локально на реплікуваному середовищі і тестуйте це спочатку. У цьому плані Vagrant допомагає швидко працювати з тестовими установками.

iptables-applyспеціально розроблений для цього. Він застосовує ваші правила, а потім пропонує вам підтвердити. Якщо ви не підтверджуєте, це скасовує їх. Тож якщо ви цегелюєте систему або заблокуєте себе із застосуванням, вона відкочується назад.

Який метод (и) ви використовуєте для тестування правил, не замикаючись?

Подумайте про ефект того, що ви набираєте, перш ніж вводити його.

замкнув себе

Перш ніж віддалено починати змінювати речі, які можуть вас заблокувати, вставте правило прийняття, яке відповідає вашому з'єднанню, на початку списку. Завантажте це за допомогою сценарію сторожової собаки, який скине всі правила до того, що працювало, коли ви почали роботу, якщо не скинути таймер. Це можна зробити за допомогою циклу моніторингу файлів та запуску touchкоманди для скидання часової позначки під час роботи над речами. Просто не забудьте вимкнути це, коли ви доопрацюєте правила. Дуже простий формат цього:

sleep $((10*60)) && iptables-restore /path/to/working/script

Ви можете налаштувати iptables без правила DROP за замовчуванням у вхідному ланцюжку. Якщо ви створили правило, а потім поставили в цій команді:

$ iptables -nvL

Потім ви бачите кількість пакетів і бачите, чи є у вас звернення від вашого хоста.

Також іншим варіантом є створення crontab, який виконує сценарій. У межах цього сценарію можна писати

$ iptables -F

За допомогою цієї команди ви можете пропустити свою IPTABLES-config.