LINUX.ORG.RU
ФорумAdmin

Сброс iptables

 , ,


0

1

Ребят подскажите, я тут намудрил, на сервере который админю, ерунды, что он теперь дропает инком и передеплой не сделать, как мне откатить настройки iptables в дефолтные? т.е. те что я стояли при установке?(или те которые были до последнего изменения конфигурации) Ключ -F стирает все настройки как я понял(а этого категорически нельзя делать, ибо продакшн, личные данные клиентов и так далее, вообщем запрещено).



Последнее исправление: cheetah111v (всего исправлений: 2)
debian+ipt-netflow+nfsen+mirror_port
Your DKIM signature is not valid

Ключ -F стирает только заданные цепочки правил. Какие данные клиентов, вы о чем?

-F, --flush [chain]
              Flush the selected chain (all the chains in the table if none is given).  This is equivalent to deleting  all
              the rules one by one.
ptah_alexs ★★★★★
()
Ответ на: комментарий от ptah_alexs

Про данные это касательно того, что сервер защищенная область и не должен быть подвергнут риску из-за отсутствия фаервола, так в должносной инструкции написано, не суть важно.

А можно ли скопировать конфиги iptables из другой машины на которой они настроены корректно?

cheetah111v
() автор топика

У тебя нет доступа к серверу? Напиши хостеру.

И что там фаерволлом было закрыто? Не вижу смысла закрывать что-либо, кроме ssh, все необходимые сервисы можно просто забиндить на локалхост.

Deleted
()

Black_Shadow и ты еще докапывался до «ыдмина» не умеющего в vi ?

anc ★★★★★
()
Ответ на: комментарий от cheetah111v

можете конечно скопировать, iptables --list/--list-rules можете удалить лишние правила --delete -D chain rulenum Delete rule rulenum (1 = first) from chain

Silerus ★★★★
()

как мне откатить настройки iptables в дефолтные?

Дефолтные есть в пакете с iptabeles, скачай пакет, распакуй и найди там файл с правилами, примени.

kostik87 ★★★★★
()

Если развлекались исключительно набором команд «iptables ключи» и не ребутали сервак, то возможно спасет iptables-restore <файл-куда-iptables-save-сохраняет-в-вашем-дистре

anc ★★★★★
()
Ответ на: комментарий от cheetah111v

В самбе и в телнете тоже?

А зачем они нужны на сервере? :)

И самбу можно забиндить на нужный адрес, да.

Deleted
()
Ответ на: комментарий от Deleted

Не вижу смысла закрывать что-либо, кроме ssh, все необходимые сервисы можно просто забиндить на локалхост.

Старая песня о главном. Начнем с простого. Что-то ставили, забыли, порт открыт. Сложнее. Юзер что-то поставил, порт открыт. Еще сложнее. Не все демоны умеют слушать в несколько ip, т.е. или один ip или 0.0.0.0, бинд по интерфейсу (т.е. когда вы в том же netstat увидите несколько строк с 0.0.0.0) так же не все умеют.
Правило fw одно, все что не разрешено должно быть запрещено и точка! А дальше по демонам можно извращаться как хочеш, отдельными-интерфейсами/ip/etc.

anc ★★★★★
()
Ответ на: комментарий от cheetah111v

Нет какого функционала как такового, все это дистроспецифично.
А папе передай что тебя больше на работу с собой не брал. И брысь делать домашку.

anc ★★★★★
()
Ответ на: комментарий от anc

Что-то ставили, забыли, порт открыт

Если у тебя есть привычка что-то ставить на продакшн сервере, а потом забывать об этом, то это само по себе проблема.

Юзер что-то поставил, порт открыт

Логичнее и полезнее заставлять своих юзеров держать ответственность за их действия, чем защищаться от них фаерволлом.

Не все демоны умеют слушать в несколько ip

Ну хорошо, их тоже можно закрыть. Но фаерволл - не панацея от безалаберных и криворуких юзеров.

Deleted
()
Ответ на: комментарий от Deleted

Если у тебя есть привычка что-то ставить на продакшн сервере, а потом забывать об этом,

«Что-то» может быть «чем угодно», то что прямо сейчас временно надо, снести в запарке забыли. Далее вы не один админ, другой поставил и забил.
Рассуждать на эту тему можно долго. Но не лучше ли когда УЖЕ закрыто? Попробуйте привести хоть один контраргумент?
Сам никс всегда выгодно отличался от офтопа политикой «запрещено» а не «разрешено».

Логичнее и полезнее заставлять своих юзеров держать ответственность за их действия

Ну давайте еще «бумажками обложимся» и если че, то - «это не я, как админ виноват, это юзвер виноват, вот бумажка»

Ну хорошо, их тоже можно закрыть. Но фаерволл - не панацея от безалаберных и криворуких юзеров.

Защита, если она не мешает как «тяжелый пехотный бронежелет при дайвинге», лишней быть не может.

anc ★★★★★
()
Ответ на: комментарий от anc

Правило fw одно, все что не разрешено должно быть запрещено и точка!

Ну OUTPUT то хоть мона на ACCEPT? ;) А вообще, это всё хорошо, пока не захочется samba/nfs с rpc, да даже traceroute по UDP. Особенно печально, когда вот восле таких советов весь icmp себе позакрывают, а потом ни один ответ не получают, ни о mtu, ни о доступности хоста...

vodz ★★★★★
()
Ответ на: комментарий от vodz

Ну OUTPUT то хоть мона на ACCEPT? ;)

По настроению :))))

Особенно печально, когда вот восле таких советов весь icmp себе позакрывают

Я разве сказал что оно должно быть запрещено? Я бы тоже за это «все не нужные» конечности вырывал. Буквально недавно наткнулся на такую пофигень в варианте: «все-ко-всем» (провы разные) который работал без изменений дааавно, однако по одному вектору перестало, все в пределах одного города и на других векторах отправленных к тому же прову все работало.

«все что не разрешено должно быть запрещено» - вот именно что разрешено! то и должно оставаться доступным.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
debian+ipt-netflow+nfsen+mirror_port
Admin
Your DKIM signature is not valid