Comment testez-vous les règles iptables pour empêcher le verrouillage à distance et vérifier les correspondances?


14

En apprenant sur iptables, j'ai fait quelques erreurs et je me suis enfermé.

Quelle (s) méthode (s) utilisez-vous pour tester les règles sans vous enfermer?

J'utilise le serveur Ubuntu 12.04 LTS


Toutes les réponses ci-dessous ont été utiles. Au final, j'ai utilisé une combinaison d'options. Il est également utile d'avoir un accès IPMI à votre serveur distant au cas où! Mais idéalement, testez les règles localement sur un environnement répliqué et testez-le d'abord. Vagrant aide à cet égard à faire fonctionner rapidement les configurations de test.

Réponses:


17

iptables-applyest spécialement conçu pour cela. Il applique vos règles, puis vous invite à affirmer. Si vous n'affirmez pas, il les annule. Donc, si vous briquez le système ou vous verrouillez avec Apply, il revient en arrière.


7

Quelle (s) méthode (s) utilisez-vous pour tester les règles sans vous enfermer?

Pensez à l'effet de ce que vous tapez avant de le taper.

je me suis enfermé

Avant de commencer à modifier à distance des éléments susceptibles de vous bloquer, insérez une règle d'acceptation correspondant à votre connexion au début de la liste. Sauvegardez cela avec un script de surveillance qui réinitialisera toutes les règles à ce qui fonctionnait lorsque vous avez commencé si vous ne réinitialisez pas le minuteur. Vous pouvez le faire avec une boucle de surveillance de fichiers et en exécutant la touchcommande pour réinitialiser l'horodatage pendant que vous travaillez sur des choses. N'oubliez pas de le désactiver lorsque vous finalisez les règles. Le format très simple de cela est:

sleep $((10*60)) && iptables-restore /path/to/working/script

2
sleep 10mfonctionne aussi :)
melsayed

Bien que l'OP ait demandé Ubuntu et donc la réponse à 'iptables-apply' serait idéale (pour tous les hybrides debian), pour d'autres distributions comme Fedora qui n'a pas 'iptables-apply', je préfère / apprécie cette méthode / pratique / suggestion.
HidekiAI

3

Vous pouvez configurer iptables sans règle DROP par défaut sur votre chaîne d'entrée. Si vous créez une règle, puis entrez cette commande:

$ iptables -nvL

Ensuite, vous voyez le nombre de paquets et voyez si vous avez des hits de votre hôte.

Une autre option est également de créer une crontab qui exécute un script. Dans ce script, vous pouvez écrire

$ iptables -F

Avec cette commande, vous pouvez vider votre IPTABLES-config.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.