Як я можу перевірити, чи існує правило iptables?

Мені потрібно додати правило до iptables, щоб заблокувати з'єднання до порту tcp з Інтернету.

Оскільки мій скрипт може викликатися кілька разів, і немає сценарію для видалення правила, я хочу перевірити, чи існує правило iptables перед тим, як вставити його - інакше буде багато правил дублювання у ланцюзі INPUT.

Як я можу перевірити, чи існує правило iptables?

В -C --checkостанніх версіях iptables є нова опція.

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
iptables: Bad rule (does a matching rule exist in that chain?).
# echo $?
1

# iptables -A INPUT -p tcp --dport 8080 --jump ACCEPT

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
# echo $?
0

Для старих версій iptables я б використовував пропозицію Garrett:

# iptables-save | grep -- "-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT"

Новий -Cваріант не є задовільним, оскільки він відкритий для перегонів час перевірки до часу використання (TOCTTOU). Якщо два процеси намагаються додати одне і те ж правило приблизно в один і той же час, -Cце не захистить їх від додавання його двічі.

Отже, це насправді не краще grepрішення. Точне завдання обробки тексту над висновком файлу iptables-saveможе працювати так само надійно -C, оскільки цей вихід є надійним оглядом стану таблиць.

Необхідний --ensureваріант, який атомно перевіряє та додає правило, лише якщо воно ще не існує. Більше того, було б непогано, якби правило було переміщено до правильної позиції, куди було б вставлено нове правило, якщо воно ще не існувало ( --ensure-move). Наприклад, якщо iptables -I 1воно використовується для створення правила на чолі ланцюга, але це правило існує вже в сьомому положенні, тоді існуюче правило повинне перейти до першого положення.

Без цих особливостей я думаю, що можливим вирішенням є написання циклу сценарію оболонки на основі цього псевдокоду:

while true ; do
  # delete all copies of the rule first

  while copies_of_rule_exist ; do
    iptables -D $RULE
  done

  # now try to add the rule

  iptables -A $RULE # or -I 

  # At this point there may be duplicates due to races.
  # Bail out of loop if there is exactly one, otherwise
  # start again.
  if exactly_one_copy_of_rule_exists ; then
    break;
  fi
done

Цей код може крутитися навколо; це не гарантує, що два або більше гонщиків вийдуть за фіксовану кількість ітерацій. Щоб допомогти в цьому, можна додати кілька випадкових сплячих показників.

Це може здатися трохи назад, але це працює для мене. Спробуйте спочатку видалити правило.

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP;

Ви повинні отримати повідомлення, подібне до:

iptables: Неправильне правило (чи існує відповідне правило у цьому ланцюжку?)

Потім просто додайте своє правило як звичайне:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP;

Просто перерахуйте та шукайте його?

iptables --list | grep $ip

... або, проте, у вас вказане правило. Якщо ви користуєтесь grep -qцим, нічого не виведе, і ви можете просто перевірити значення повернення за допомогою$?

Як щодо спочатку додавання та видалення дублікатів, як описано в https://serverfault.com/questions/628590/duplicate-iptable-rules . Найлегше (для суміжних ліній) здається

iptables-save | uniq | iptables-restore

Щоб уникнути дублювання правил зі свого сценарію, додайте нижче рядка.

iptables -C -INPUT -p tcp --dport 8080 --jump ACCEPT || iptables -A -INPUT -p tcp --dport 8080 --jump ACCEPT

Перший раз, коли виконується команда вище, ми спостерігаємо нижче повідомлення

iptables: Неправильне правило (чи існує відповідне правило у цьому ланцюжку?).

Це лише для інформації. Але друга половина команди забезпечить додавання правила.