Quelle est la manière canonique de stocker les règles iptables

iptables, le pare-feu Linux standard, n'enregistre pas les règles entre les redémarrages. Vous devez vous en occuper vous-même. Il y a plusieurs façons de procéder. Quelle est la manière canonique de procéder? Quelles sont les meilleures pratiques?

Je répondrai avec ma propre solution, mais je suis intéressé par d'autres / meilleures solutions.

Voici quelques exemples de règles. Enregistrez-les dans /etc/iptables.rules

# Generated by iptables-save v1.3.6 on Wed Oct 24 17:07:29 2007
*filter
:INPUT ACCEPT [89458:132056082]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [263904:15667452]
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 
-A INPUT -j DROP 
COMMIT
# Completed on Wed Oct 24 17:07:29 2007

ajoutez cette ligne à la fin de / etc / network / interfaces

pre-up iptables-restore < /etc/iptables.rules

Nous utilisons beaucoup de règles iptables , afin de faciliter l'administration, nous faisons ce qui suit:

• Les règles sont toutes appelées à partir de scripts - les scripts sont appelés à partir de /etc/init.d/firewall (script personnalisé)
• Un fichier de noms de serveur / noms de réseau (variables d'adresse IP) est conservé et inclus dans chaque script iptables pour plus de cohérence.
• des scripts séparés sont conservés pour chaque sous-réseau (c.-à-d. privé / DMZ / VPN, etc.) pour faciliter la recherche. Les règles qui appartiennent à 2 scripts (telles que celles restreignant la communication n / b privé et DMZ) sont placées dans le script du réseau plus "sécurisé"
• dans la mesure du possible, les boucles et les boucles imbriquées sont utilisées pour garder les scripts aussi courts que possible.
• chaque nouvelle règle ou modification est documentée avec des commentaires précédant la section appropriée du script.

Je ne sais pas si c'est la meilleure façon de procéder, mais cela a bien fonctionné pour nous.

Bien qu'il soit vrai que cela dépend de l'environnement et de la plateforme, j'ai vu deux bonnes approches, selon la plateforme:

• RHEL / CentOS: stockez toutes les règles dans un seul fichier / etc / sysconfig / iptables qui est lu par le script de démarrage iptables.

• Debian / Ubuntu: stockez toutes les règles dans des fichiers spécifiques au service séparés dans le répertoire /etc/iptables.d/. Par exemple, /etc/iptables.d/port_http, /etc/iptables.d/port_dns, où port_service correspond à un nom de service dans / etc / services.

Dans les deux cas, le ou les fichiers sont gérés par un outil de configuration comme Chef ou Puppet, et lus par le script de démarrage «maître» pour iptables qui s'exécute au démarrage.

En plus de iptables-save(et iptables-restore), les schémas de pare-feu complexes sont mieux gérés avec des programmes dédiés. Par exemple, nous avons utilisé shorewall("iptables en toute simplicité") pour configurer iptables.

Des outils plus simples sont également disponibles, comme firestarter et kmyfirewall .

Cela dépend de la distribution que vous utilisez. Certaines distributions, en particulier celles basées sur une distribution Red Hat, conservent automatiquement les règles iptables mais dans leur propre répertoire spécial. Je connais bien RHEL et les règles iptables se trouvent dans / etc / sysconfig / iptables. Se familiariser avec la syntaxe des règles iptables peut être délicat au début, mais est assez facile une fois que vous avez compris.

Le site Web de netfilter a beaucoup de documentation sur iptables, y compris quelques introductions. Si vous avez envie de lire un peu, vous pouvez trouver beaucoup de bonnes informations ici: http://www.netfilter.org/documentation/

Cette question est très proche d'être un dup de 4934 et elle est liée à 397 .

J'utilise firehol combiné à une interface web que j'ai développée pour gérer le fichier de configuration.

J'aime vraiment firehol, il fournit une syntaxe plus simple que l'utilisation directe d'iptables.

• Vous pouvez utiliser la commande firehol debug pour exactement quelles commandes iptables sont générées
• Si vous avez une erreur dans votre configuration et que vous démarrez le pare-feu, firehol détecte l'erreur et revient à l'état précédent.
• Firehol a une commande `` try '' que vous pouvez utiliser pour démarrer le pare-feu à distance, si vos modifications tuent votre connexion, firehol reviendra à l'état précédent, si vous n'avez pas tué votre connexion, il vous demandera de confirmer la modification.
• Firehol a un large éventail de services prédéfinis, vous n'avez donc pas à vous rappeler exactement quels ports vous devez avoir quels ports ouvrir pour un protocole obscur.

Nous utilisons bien sûr un script d'initialisation personnalisé. Je peux utiliser des boucles for pour parcourir une liste de ports, analyser d'autres fichiers de configuration comme les utilisateurs vpn, etc. Excellent!

Et iptables-restore est sûrement le moyen le plus "canonique" de le sauvegarder.

Ce que je veux ajouter:

Veuillez noter que la version actuelle d'iptables demandera pour chaque appel unique au noyau de lui rendre la liste complète des chaînes. Ensuite, il fera le seul changement que vous lui demandez de faire. Ensuite, il téléchargera à nouveau la liste.

C'est lent (O (n ^ 2)), pour nous il faut 5 secondes ce qui est trop long ;-)

Si vous utilisez iptables-restore, tout se passe en une seule opération rapide.