Всем доброго времени суток. Помогите решить маленькую проблему. Есть скрипт настройки правил iptables, в качестве примера приведу его некоторые части:
#!/bin/bash
#Подключаем необходимые модули#
#Включить перенаправление пакетов через ядро
echo 1 > /proc/sys/net/ipv4/ip_forward
#Задаем настройки по умолчанию#
#Очищаем все правила в таблицах filter, nat и mangle
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
#Удаляем все пользовательские цепочки в таблицах filter, nat и mangle
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X
#Задаем политики по умолчанию
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT
#Разрешаем прохождение любого трафика по интерфейсу обратной петли
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Разрешим передачу трафика уже открытым соединениям
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Открываем icmp
iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
#Открываем DNS запросы
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
#Открываем 80 порт для апача
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
#Прокидываем RDP
for IP in `cat /root/scripts/rdp`;
do
PROV=`grep -o "#" <<<"$IP" | wc -l`;
if [ $PROV -eq 0 ]
then
iptables -t nat -A PREROUTING -s $IP -d 77.77.77.77 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.100:3389
fi;
done
#НАТ
iptables -t nat -A POSTROUTING -s 192.168.1.101 -j SNAT --to-source 77.77.77.77
iptables -t nat -A POSTROUTING -s 192.168.1.102 -j SNAT --to-source 77.77.77.77
#Применяем правила
#переписываем iptables
iptables-save > /etc/sysconfig/iptables
#перезапускаем сервис iptables
service iptables restart
Команда iptables-save > /etc/sysconfig/iptables позволяет как бы пересчитать конфигурацию фаервола без перезапуска службы, то есть все коннекты которые установлены и разрешены не будут сброшены при выполнении этой команды.
Но! При перезагрузки самого шлюза, в iptables нет правил, если не использовать в скрипте команду service iptables restart
Так вот вопрос: что же такое и куда прописать чтобы прописывать новые правила без перезапуска самого сервиса iptables и быть уверенным что если шлюз перезагрузится то все что в скрипте прописано применялась?