Назад | Перейти на главную страницу

не открывает ли netfilter-persistent reload ворота на полминуты?

У меня есть iptables, настроенный для блокировки всего исходящего трафика, который пытается выйти за пределы моего VPN-соединения. и netfilter-persistent, чтобы правила iptables были постоянными. все это работает отлично.

Теперь, поскольку подключенные IP-адреса меняются время от времени, я хочу создать скрипт, который будет искать IP-адреса и обновлять правила белого списка iptables ежечасно.

Два связанных вопроса по этому поводу ..

  1. Всякий раз, когда сценарий перезагружает постоянную службу netfilter для обновления iptables, есть ли доля секунды, когда трафик может уйти за пределы VPN? или новые правила перезаписываются без предварительной очистки?
  2. а как насчет перезагрузки системы? подключаются ли сетевые интерфейсы до того, как сработает netfilter-persistent, или существует возможность выхода не-VPN-трафика во время загрузки?

Я считаю, что это логично, в обоих случаях это должно быть защищено от «утечки», но я не нашел ничего, подтверждающего это.

  1. Постоянные сценарии Netfilter используют iptables-restore инструмент, который выполняет атомарную перезагрузку набора правил iptables.
  2. Сценарии с сохранением Netfilter во время загрузки запускаются до того, как будут запущены интерфейсы (вы можете проверить вывод systemctl cat netfilter-persistent.service).