Sie sind nicht angemeldet.

IPTABLES - iptables-save per Editor editieren?

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

rurotil81

User

  • »rurotil81« ist der Autor dieses Themas

Beiträge: 2

Registrierungsdatum: 23.01.2009

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

1

31.03.2009, 13:02

IPTABLES - iptables-save per Editor editieren?

Hallo,

ist es möglich iptables über einen editor zu editieren? wenn ich meine iptables über iptables-save speicher, bekomme ich ein script wie folgt:

# Completed on Tue Mar 31 10:52:54 2009
# Generated by iptables-save v1.3.8 on Tue Mar 31 10:52:54 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3417:463879]
[2150:269051] -A INPUT -i lo -j ACCEPT
[1483:112404] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[1:60] -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
[3:144] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT


Kann ich das über einen Editor edtieren? nur mit IPTABLES -A INPUT.... nervt mich das auf dauer.
Kann mir vlt. auch jemand erklären was die Zahlen vor dem Kommando bedeuten? :-)
danke :-)

Broco

User

  • »Broco« ist männlich

Beiträge: 266

Registrierungsdatum: 05.12.2008

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: GNOME 3.0

Andere Betriebssysteme: Debian Wheezy, Knoppix, Fedora

  • Nachricht senden

2

31.03.2009, 15:00

Ääääähm....
Ich würde das nicht machen :-P
Ich habe von unserem Guru gelernt ein Script zu erstellen, das deine Regeln beinhaltet, z.B.:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

#!/bin/sh
#Standard-Police setzen (alles verwerfen):
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


# Lokale Prozesse erlauben (ueber lo)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Alles annehmen, was der PC selbst aufgebaut hast
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# alle Verbindungen nach außen zulassen
iptables -A OUTPUT -o eth0 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Alle anderen speziellen Definitionen, z.B.:

# ICMP erlauben (z.B. fuer Ping etc)
iptables -A INPUT -i eth0 -p icmp -j ACCEPT

# Webserver
iptables -A INPUT -i eth0 -p tcp -dport 80 -j ACCEPT

# Zum Schluss die Speicherfunktion:
iptables-save > /etc/iptables

Das Script speicherst du ab und machst es mit chmod +x ausführbar.
Dann führst du es mit sudo "./Script" aus, wobei dann deine IP-Tables Regeln erstellt werden.

Falls jetzt nichts mehr gehen sollte, weil du etwas vergessen hast, oder dich selbst ausgesperrt hast (wenn du z.B. per SSH - den Port musst du natürlich auch freigeben ;) - mit der Maschine verbunden bist), kannst du sie neu starten und alles ist wie es war.

Falls alles funktioniert, solltest du dafür sorgen, dass deine Regeln bei jedem Start geladen werden:
Dazu kannst du dann z.B. unter /etc/network/interfaces noch folgenden Eintrag einfügen:

Quellcode

 
1
2
3

auto lo
iface lo inet loopback
pre-up /sbin/iptables-restore < /etc/iptables

Damit wird bei jedem Systemstart die Datei wieder hergestellt.

Du kannst allerdings auch den "iptables-restore < /etc/iptables"-Befehl in /etc/rc.local reinschreiben...

Warum das Ganze?
Willst du jetzt eine Regel ändern, musst du nur dein Script anpassen und neu ausführen, fertig.
Außerdem kannst du in dem Script kommentieren und strukturieren, was sonst nicht ginge.

Früher wurden solche Scripte übrigens direkt beim Systemstart ausgeführt, bevor es iptables-save/-restore gab.
Why Linux sucks

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »Broco« (31.03.2009, 15:00)