Bagaimana Anda menguji aturan iptables untuk mencegah penguncian jarak jauh dan memeriksa kecocokan?

14

Ketika saya belajar tentang iptables, saya membuat beberapa kesalahan dan mengunci diri.

Metode apa yang Anda gunakan untuk menguji aturan tanpa mengunci diri Anda?

Saya menggunakan server ubuntu 12,04 LTS

Semua jawaban di bawah ini sangat membantu. Pada akhirnya saya menggunakan kombinasi opsi. Ini juga membantu untuk memiliki akses IPMI ke server jauh Anda kalau-kalau! Tetapi idealnya menguji aturan secara lokal pada lingkungan yang direplikasi dan uji itu terlebih dahulu. Vagrant membantu dalam hal ini untuk membuat pengaturan tes bekerja dengan cepat.

linux iptables Mat
sumber

Jawaban:

17

iptables-applysecara khusus dirancang untuk ini. Itu berlaku aturan Anda, dan kemudian meminta Anda untuk menegaskan. Jika Anda tidak menegaskan, ini akan mengembalikannya. Jadi jika Anda merusak sistem atau mengunci diri Anda dengan menerapkan, itu memutar kembali.

Craig Constantine
sumber
7

Metode apa yang Anda gunakan untuk menguji aturan tanpa mengunci diri Anda?

Pikirkan efek dari apa yang Anda ketikkan sebelum Anda mengetiknya.

mengunci diri

Sebelum Anda mulai mengubah hal-hal dari jarak jauh yang mungkin mengunci Anda, masukkan aturan terima yang cocok dengan koneksi Anda di awal daftar. Kembalikan itu dengan skrip pengawas yang akan mengatur ulang semua aturan dengan apa yang berfungsi saat Anda memulai jika Anda tidak mengatur ulang penghitung waktu. Anda dapat melakukannya dengan loop pemantauan file dan menjalankan touchperintah untuk mengatur ulang stempel waktu saat Anda mengerjakan sesuatu. Ingatlah untuk mematikannya saat Anda menyelesaikan aturan. Format yang sangat sederhana adalah:

sleep $((10*60)) && iptables-restore /path/to/working/script
Jeff Ferland
sumber
2
sleep 10mbekerja juga :)
melsayed
Meskipun OP meminta Ubuntu dan dengan demikian jawaban untuk 'iptables-apply' akan ideal (untuk semua debian hybrids), untuk distro lain seperti Fedora yang tidak memiliki 'iptables-apply', saya lebih suka / menghargai metode ini / latihan / saran.
HidekiAI
3

Anda dapat mengatur iptables tanpa aturan DROP default di rantai input Anda. Jika Anda membuat aturan dan kemudian masukkan perintah ini:

$ iptables -nvL

Kemudian Anda melihat jumlah paket dan melihat apakah Anda memiliki hit dari host Anda.

Pilihan lain adalah, membuat crontab yang menjalankan skrip. Dalam skrip itu, Anda dapat menulis

$ iptables -F

Dengan perintah ini Anda dapat menyiram Anda IPTABLES-config.

Dave Greebe
sumber