ConfigServer CSF и iptables config

Question

ConfigServer CSF и iptables config

Я знаю, что существует файл /etc/sysconfig/iptables с правилами для iptables (и в чем разница с /etc/sysconfig/iptables-config?).

Я установил CSF и LFD. Вы можете настроить порты в /etc/csf/csf.conf, но файл /etc/sysconfig/iptables не существует. Демон iptables и csf работают.

Что это значит? Что брандмауэр ничего не делает?

На самом деле, как CSF и iptables работают вместе??

0

iptables redhat configuration daemon csf

Источник

Florian Mertens 08 сен '13 в 16:27

1 ответ

Решение

Другие вопросы по тегам iptables redhat configuration daemon csf

Andrew Domaszek 08 сен '13 в 17:39 2013-09-08 17:39 · Accepted Answer · 2013-09-08 17:39

Если память не изменяет, /etc/sysconfig/iptables-config это файл, который описывает, какие параметры используются при запуске скрипта rhel iptables init. В нем нет явных правил. /etc/sysconfig/iptables Файл, с другой стороны , содержит эти правила. Он отформатирован согласно выводу iptables-save команда; на самом деле, когда вы бежите service iptables save это именно то, как он создает файл.

Краткая версия вашего второго вопроса: "Какой из них запущен последним, имеет приоритет".

Для ясности я собираюсь сделать абстракцию языка в контексте этого ответа, который не является "принятым в отрасли" следующим образом:

/etc/init.d/iptables, / etc / sysconfig / iptables * и друзья будут называться "rhel-iptables", поскольку они являются сценариями поддержки iptables, созданными redhat.
/ sbin / iptables *, модули брандмауэра в ядре и друзья будут называться "netfilter", потому что они предоставляются командой netfilter для поддержки iptables в ядре.

И скрипты rhel-iptables, и CSF используют инфраструктуру и команды netfilter для размещения правил брандмауэра в пространстве ядра. Оба из них (*) сбрасывают таблицы правил ядра на пустые при запуске. Таким образом, если CSF запускается или перезапускается после rhel-iptables, его правила и конфигурация будут иметь приоритет. Обратное верно для rhel-iptables, запущенного или перезапущенного после CSF; правила CSF будут стерты, а правила rhel-iptables вступят во владение.

Как бы глупо это ни казалось, это, вероятно, нормально, если вы работаете только с тем набором правил, который хотите запустить, и вы убедились, что тот, который вы хотите запустить (вероятно, CSF, поскольку вы потратили время на его установку), запускается последним и вы обязательно перезапустите его, если случайно перезапустите службу iptables. Вы можете проверить порядок их запуска, посмотрев на ls -1 /etc/rc.d/rc3.d при условии, что ваш уровень запуска по умолчанию равен 3, что обычно для rhel/centos без графического представления (графическое значение равно 5). Если число после S выше, оно начинается позже.

Почему вы хотите запустить оба? Хорошо, если ваш /etc/sysconfig/iptables правила являются функциональными, в значительной степени гарантированно срабатывает до любых сетевых сервисов, что означает, что защита брандмауэром начинается до того, как сеть заработает и все сервисы будут доступны. Правила, перечисленные в этом файле, очень устойчивы к системным изменениям, на которые CSF может плохо реагировать, например, ваш интерпретатор сценария или версия ядра обновляются незначительно, нарушая синтаксис сценария или имена модулей или, что более вероятно, вы пытаетесь обновить CSF из его домашний сайт и он ломается сам. Если произойдет сбой CSF перед удалением ваших правил, ваши правила rhel-iptables все еще будут действовать, защищая ваши потенциально уязвимые сервисы как запасной набор правил.

Если вы хотите отключить скрипт rhel-iptables, вы можете сделать это, выполнив эту команду:

chkconfig iptables off

(*) очистка таблиц правил ядра по умолчанию для обоих сценариев; Я считаю, что оба могут быть настроены, чтобы не делать этого, и только добавить.