Назад | Перейти на главную страницу

Конфигурация ConfigServer CSF и iptables

Я знаю, что есть файл / etc / sysconfig / iptables с правилами для iptables (и какая эффективная разница с / etc / sysconfig / iptables-config?).

Я установил CSF и LFD. Вы можете настроить порты в /etc/csf/csf.conf, но файл / etc / sysconfig / iptables не существует. Демон iptables и csf запущены.

Что это значит? Что брандмауэр ничего не делает?

На самом деле, как CSF и iptables работают вместе ??

Если память мне не изменяет, /etc/sysconfig/iptables-config - это файл, описывающий, какие параметры используются при запуске сценария инициализации rhel iptables. В нем нет явных правил. в /etc/sysconfig/iptables файл с другой стороны делает есть эти правила в нем. Он отформатирован в соответствии с выводом iptables-save команда; на самом деле, когда вы бежите service iptables save именно так он создает файл.

Краткая версия вашего другого вопроса - «тот, который запущен последним, имеет приоритет».

Для ясности я сделаю абстракцию языка в контексте этого ответа, который не является «отраслевым» следующим образом:

  • /etc/init.d/iptables, / etc / sysconfig / iptables * и другие будут называться «rhel-iptables», потому что это сценарии поддержки iptables, созданные redhat.
  • / sbin / iptables *, встроенные в ядро ​​модули брандмауэра и их друзья будут называться "netfilter", потому что они предоставляются командой netfilter для поддержки встроенных в ядро ​​iptables.

И rhel-iptables, и сценарии CSF используют инфраструктуру netfilter и команды для размещения правил межсетевого экрана в пространстве ядра. Оба они (*) сбрасывают таблицы правил ядра, чтобы они были пустыми при запуске. Таким образом, если CSF запускается или перезапускается после rhel-iptables, его правила и конфигурация будут иметь приоритет. Обратное верно для rhel-iptables, запущенных или перезапущенных после CSF; правила CSF будут удалены, а правила rhel-iptables вступят в силу.

Каким бы глупым это ни казалось, это, вероятно, нормально, если вы работаете только с тем набором правил, который хотите запустить, и вы проверили, что тот, который вы хотите запустить (вероятно, CSF, поскольку вы потратили время на его установку), выполняется последним. и обязательно перезапустите его, если случайно перезапустите службу iptables. Вы можете проверить порядок их запуска, посмотрев на ls -1 /etc/rc.d/rc3.d при условии, что ваш уровень запуска по умолчанию равен 3, что обычно имеет место в rhel / centos без графического интерфейса (графический - 5). Если число после S больше, запуск начинается позже.

Зачем вам запускать оба? Хорошо, если твой /etc/sysconfig/iptables правила работают, они почти гарантированно сработают до появления каких-либо сетевых служб, что означает, что защита брандмауэра начинается до того, как сеть будет запущена и какие-либо службы будут доступны. Правила, перечисленные в этом файле, очень устойчивы к системным изменениям, на которые CSF может плохо реагировать, например, ваш интерпретатор сценария или версия ядра обновляются незначительно, нарушая синтаксис сценария или имена модулей или, что более вероятно, вы пытаетесь обновить CSF из его домашний сайт, и он ломается. Если CSF выйдет из строя до того, как очистить ваши правила, ваши правила rhel-iptables по-прежнему действуют, защищая ваши потенциально уязвимые службы в качестве резервного набора правил.

Если вы хотите отключить сценарий rhel-iptables, вы можете сделать это, выполнив эту команду:

chkconfig iptables off

(*) очистка таблиц правил ядра по умолчанию для обоих скриптов; Я считаю, что оба могут быть настроены так, чтобы не делать этого и только добавлять.