Должен ли я сбрасывать правила iptables для определенного интерфейса, если этот интерфейс вышел из строя?
Есть ли какие-то преимущества?
В настоящее время я использую iptables-restore и я не удаляю правила, даже если я отключил интерфейс, правила просто загружаются при загрузке и все.
Что вы порекомендовали?
Я бы не стал беспокоиться. Могут быть некоторые крайние случаи, когда это может иметь значение для производительности FW (например, если у вас есть тысячи правил, сложных fwmark и т. Д., Работающих для неиспользуемого интерфейса).
Я реализовал брандмауэры высокой доступности, используя vlans, heartbeat и iptables. В этом случае на резервном брандмауэре загружены все правила, даже если у него нет IP-адресов (хотя мы заранее создаем устройства vlan).
Кроме того, если вы загрузите все свои правила FW из одного скрипта, а затем сбросите только правила для одного интерфейса, вам придется перезагрузить все свои правила, чтобы восстановить интерфейс. Это без надобности прервет ваши установленные соединения.
Я не считаю это необходимым. Кроме того, если вы используете политику DROP и сбрасываете не то, что вам нужно, сервер может быть заблокирован.