Ääääähm....
Ich würde das nicht machen :-P
Ich habe von unserem Guru gelernt ein Script zu erstellen, das deine Regeln beinhaltet, z.B.:
|
Quellcode
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
#!/bin/sh
#Standard-Police setzen (alles verwerfen):
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Lokale Prozesse erlauben (ueber lo)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Alles annehmen, was der PC selbst aufgebaut hast
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# alle Verbindungen nach außen zulassen
iptables -A OUTPUT -o eth0 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Alle anderen speziellen Definitionen, z.B.:
# ICMP erlauben (z.B. fuer Ping etc)
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
# Webserver
iptables -A INPUT -i eth0 -p tcp -dport 80 -j ACCEPT
# Zum Schluss die Speicherfunktion:
iptables-save > /etc/iptables
|
Das Script speicherst du ab und machst es mit chmod +x ausführbar.
Dann führst du es mit sudo "./Script" aus, wobei dann deine IP-Tables Regeln erstellt werden.
Falls jetzt nichts mehr gehen sollte, weil du etwas vergessen hast, oder dich selbst ausgesperrt hast (wenn du z.B. per SSH - den Port musst du natürlich auch freigeben
- mit der Maschine verbunden bist), kannst du sie neu starten und alles ist wie es war.
Falls alles funktioniert, solltest du dafür sorgen, dass deine Regeln bei jedem Start geladen werden:
Dazu kannst du dann z.B. unter /etc/network/interfaces noch folgenden Eintrag einfügen:
|
Quellcode
|
1
2
3
|
auto lo
iface lo inet loopback
pre-up /sbin/iptables-restore < /etc/iptables
|
Damit wird bei jedem Systemstart die Datei wieder hergestellt.
Du kannst allerdings auch den "iptables-restore < /etc/iptables"-Befehl in /etc/rc.local reinschreiben...
Warum das Ganze?
Willst du jetzt eine Regel ändern, musst du nur dein Script anpassen und neu ausführen, fertig.
Außerdem kannst du in dem Script kommentieren und strukturieren, was sonst nicht ginge.
Früher wurden solche Scripte übrigens direkt beim Systemstart ausgeführt, bevor es iptables-save/-restore gab.