Jeśli już masz napisane reguły zapory sieciowej przy pomocy IPtables to na pewno chcesz je zapisać na stałe tak aby były stosowane przy uruchamianiu maszyny. Poniżej pokaże jak.
Ten mini poradnik pokaże jak zapisać reguły firewalla przy pomocy iptables i zachować reguły przy starcie systemu.
Potrzebne pakiety do instalacji:
- iptables
- netfilter-persistent
Zakładam, że zamykam się dla świata ale wypuszczam tylko sobie dostęp do internetu,sieci.
sudo iptables -P INPUT DROP sudo iptables -P OUTPUT ACCEPT sudo iptables -P FORWARD DROP sudo iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
Wyświetlam wprowadzone reguły za pomocą iptables -L
Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Poleceniem iptables-save zapisuje do pliku /etc/iptables/rules.v4 reguły. Netfilter-persistent przy starcie czyta z tego pliku i stosuje go.
iptables-save > /etc/iptables/rules.v4
cat /etc/iptables/rules.v4 # Generated by iptables-save v1.4.21 on Sun Feb 7 00:02:16 2016 *filter :INPUT DROP [20:9436] :FORWARD DROP [0:0] :OUTPUT ACCEPT [503:63826] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Sun Feb 7 00:02:16 2016 # Generated by iptables-save v1.4.21 on Sun Feb 7 00:02:16 2016 *nat :PREROUTING ACCEPT [56:11946] :INPUT ACCEPT [36:2510] :OUTPUT ACCEPT [34:2630] :POSTROUTING ACCEPT [34:2630] COMMIT # Completed on Sun Feb 7 00:02:16 2016
Netfilter-persistent po instalacji dodaje się automatycznie do autostartu więc nie trzeba nic już robić.
Dla pewności można zainstalować rcconf i sprawdzić sobie w GUI czy jest uruchamiany przy starcie.
