Comment testez-vous les règles iptables pour empêcher le verrouillage à distance et vérifier les correspondances?

14

En apprenant sur iptables, j'ai fait quelques erreurs et je me suis enfermé.

Quelle (s) méthode (s) utilisez-vous pour tester les règles sans vous enfermer?

J'utilise le serveur Ubuntu 12.04 LTS

Toutes les réponses ci-dessous ont été utiles. Au final, j'ai utilisé une combinaison d'options. Il est également utile d'avoir un accès IPMI à votre serveur distant au cas où! Mais idéalement, testez les règles localement sur un environnement répliqué et testez-le d'abord. Vagrant aide à cet égard à faire fonctionner rapidement les configurations de test.

linux iptables Mat
la source

Réponses:

17

iptables-applyest spécialement conçu pour cela. Il applique vos règles, puis vous invite à affirmer. Si vous n'affirmez pas, il les annule. Donc, si vous briquez le système ou vous verrouillez avec Apply, il revient en arrière.

Craig Constantine
la source
7

Quelle (s) méthode (s) utilisez-vous pour tester les règles sans vous enfermer?

Pensez à l'effet de ce que vous tapez avant de le taper.

je me suis enfermé

Avant de commencer à modifier à distance des éléments susceptibles de vous bloquer, insérez une règle d'acceptation correspondant à votre connexion au début de la liste. Sauvegardez cela avec un script de surveillance qui réinitialisera toutes les règles à ce qui fonctionnait lorsque vous avez commencé si vous ne réinitialisez pas le minuteur. Vous pouvez le faire avec une boucle de surveillance de fichiers et en exécutant la touchcommande pour réinitialiser l'horodatage pendant que vous travaillez sur des choses. N'oubliez pas de le désactiver lorsque vous finalisez les règles. Le format très simple de cela est:

sleep $((10*60)) && iptables-restore /path/to/working/script
Jeff Ferland
la source
2
sleep 10mfonctionne aussi :)
melsayed
Bien que l'OP ait demandé Ubuntu et donc la réponse à 'iptables-apply' serait idéale (pour tous les hybrides debian), pour d'autres distributions comme Fedora qui n'a pas 'iptables-apply', je préfère / apprécie cette méthode / pratique / suggestion.
HidekiAI
3

Vous pouvez configurer iptables sans règle DROP par défaut sur votre chaîne d'entrée. Si vous créez une règle, puis entrez cette commande:

$ iptables -nvL

Ensuite, vous voyez le nombre de paquets et voyez si vous avez des hits de votre hôte.

Une autre option est également de créer une crontab qui exécute un script. Dans ce script, vous pouvez écrire

$ iptables -F

Avec cette commande, vous pouvez vider votre IPTABLES-config.

Dave Greebe
la source