Vraag beste manier om alle iptables-regels te wissen


Ik heb dit fragment momenteel:

# flush all chains
iptables -F
iptables -t nat -F
iptables -t mangle -F
# delete all chains
iptables -X

Is er een mogelijkheid dat een ondoordringbare regel in leven blijft na het uitvoeren van dit?

Het idee is om een ​​compleet schone iptables-configuratie te hebben, die gemakkelijk kan worden vervangen door nieuwe regelset (nevermind routes / ifconfig's parameters).


61
2017-11-11 03:18


oorsprong




antwoorden:


Om uw vraag bondig te beantwoorden, nee: er zouden geen "overgebleven" regels zijn na het doorspoelen van elke tafel. In het belang van grondig te zijn, wilt u misschien het beleid voor de ingebouwde instellen INPUT en FORWARD kettingen aan ACCEPT, ook:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X

Duidelijke ip6tables-regels:

ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -t nat -F
ip6tables -t mangle -F
ip6tables -F
ip6tables -X

... en dat zou het moeten doen. iptables -nvL zou dit moeten produceren (of heel vergelijkbaar) uitvoer:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

78
2017-11-11 05:52



je bent 'raw' vergeten: iptables -t raw -F iptables -t raw -X - kK-Storm


Dit zal je iptables-systeem correct resetten naar een erg eenvoudige staat:

iptables-save | awk '/^[*]/ { print $1 } 
                     /^:[A-Z]+ [^-]/ { print $1 " ACCEPT" ; }
                     /COMMIT/ { print $0; }' | iptables-restore

Alle beleidsregels worden opnieuw ingesteld op ACCEPT evenals het doorspoelen van elke tabel die momenteel wordt gebruikt. Alle ketens anders dan de ingebouwde kettingen zullen niet langer bestaan.


18
2017-11-11 03:57



Nette hack! Ik zou er echter niet afhankelijk van zijn, omdat het altijd mogelijk is dat subtiele wijzigingen in de indeling opslaan / herstellen deze kunnen doorbreken. Waarschijnlijk het beste om vast te houden aan de API die de iptables tool biedt expliciet, IMO. - Steven Monday
Ik ben van gedachten veranderd: het gegevensformaat zal waarschijnlijk niet veel meer veranderen, omdat het zo veel wordt gebruikt. 1. - Steven Monday
+1, interessante hack - Sam Halicke


Wanneer ik de firewall nodig heb, is dit ongeveer zo:

  • iptables-save > iptables.bak
  • service iptables stop (ik ben op fedora)

2
2017-11-11 05:13





Men kan dit doen in 1 of 2 commando's:

 $ sudo iptables-save > iptables.bak
 $ sudo iptables -F

Resultaat:

$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 3138 packets, 5567K bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3602 packets, 6547K bytes)
pkts bytes target     prot opt in     out     source               destination         

0
2018-04-29 05:13



Als het standaardbeleid momenteel is ingesteld op DROP, is dit een snelle manier om de server te blokkeren. Dus nee, het is geen 1 of 2 opdrachtproces. U moet eerst instellen op ACCEPTEREN als dit nog niet het geval is. - RyanH