AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

iptables/netfilter

Ein Thema von Assarbad · begonnen am 6. Jan 2011 · letzter Beitrag vom 6. Jan 2011
Antwort Antwort
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#1

iptables/netfilter

  Alt 6. Jan 2011, 20:25
Betriebssystem: Linux
Kennt jemand eine Methode die aktuellen Regeln mit iptables auszulesen um sie nicht doppelt einzufügen?

Ich würde quasi gern meinem Firewallskript einen Aktualisierungsmodus verpassen bei dem ich nur Regeln einfüge, die noch nicht existieren.

Kennt da jemand eine relativ unkomplizierte Methode?
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#2

AW: iptables/netfilter

  Alt 6. Jan 2011, 20:47
Kannst du mit der Ausgabe von folgendem Befehl was anfangen?

Code:
iptables-save
Ansonsten wirst du wohl eine eigene Datenbank über die Regelsätze mitführen müssen.

Oder eben alle Regeln erst löschen. So schwer ist das ja dann auch nicht.

Code:
iptables -F
iptables -X
<neue Regeln erstellen>
Btw, die schönste und einfachste Methode die ich kenne könnte vielleicht auch interessant sein. In /etc/network/if-down.d/ wird ein Script gelegt, welches alle Regeln exportiert. Dieses beinhaltet einfach nur "iptables-save > /etc/iptables.conf" und evtl. das IPv6-Equivalent und wird immer ausgeführt wenn das Netzwerkinterface heruntergefahren wird, also auch bei einem Reboot. Das zweite Script lädt die Regeln via "iptables-restore < /etc/iptables.conf" wieder und befindet sich in /etc/network/if-up.d/. Editiert wird einfach per Kommandozeile, eine Config-Datei gibt es nicht.

Liebe Grüße,
Valentin
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#3

AW: iptables/netfilter

  Alt 6. Jan 2011, 20:53
Danke für die Antwort.

Kannst du mit der Ausgabe von folgendem Befehl was anfangen?

Code:
iptables-save
Jupp, hatte ich schon dran gedacht, ist leider nicht komplett identisch mit dem was ich bei Erstellung der Regel übergebe.

Oder eben alle Regeln erst löschen. So schwer ist das ja dann auch nicht.
Das schon, es gibt aber auch Regeln von anderer Seite. Deswegen überhaupt dieser "komplizierte" Ansatz.

Btw, die schönste und einfachste Methode die ich kenne könnte vielleicht auch interessant sein. In /etc/network/if-down.d/ wird ein Script gelegt, welches alle Regeln exportiert. Dieses beinhaltet einfach nur "iptables-save > /etc/iptables.conf" und evtl. das IPv6-Equivalent und wird immer ausgeführt wenn das Netzwerkinterface heruntergefahren wird, also auch bei einem Reboot. Das zweite Script lädt die Regeln via "iptables-restore < /etc/iptables.conf" wieder und befindet sich in /etc/network/if-up.d/. Editiert wird einfach per Kommandozeile, eine Config-Datei gibt es nicht.
Kenne ich. Habe es auf meinem alten Dedi-Server benutzt. Kann ich aber nicht mehr gebrauchen, da ich diverse DNAT- und SNAT-Regeln erstellen will, die etwas dynamisch sind und u.a. auch auf den Namen der Interfaces basieren. Ein Skript mit etlichen for-Schleifen ist also hier die elegantere Methode ...
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#4

AW: iptables/netfilter

  Alt 6. Jan 2011, 20:54
Du schreibst deine Regeln selbst?
Kennst du shorewall?
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#5

AW: iptables/netfilter

  Alt 6. Jan 2011, 20:58
Du schreibst deine Regeln selbst?
Ja.

Kennst du shorewall?
Habe davon gehört. "Kennen" wäre zuviel behauptet ...
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.861 Beiträge
 
Delphi 11 Alexandria
 
#6

AW: iptables/netfilter

  Alt 6. Jan 2011, 21:00
Zudem weis man dann ja nicht, was da genau passiert
Markus Kinzler
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#7

AW: iptables/netfilter

  Alt 6. Jan 2011, 21:01
Zudem weis man dann ja nicht, was da genau passiert
Du meinst bei Shorewall? Naja, das Backend ist iptables und ich kann mir ja angucken was rausgekommen ist.

Vorteil von iptables-save/-restore ist übrigens, daß die Zähler erhalten bleiben. Bei Neustart oder nur Netzwerkneustart ne coole Sache.
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.861 Beiträge
 
Delphi 11 Alexandria
 
#8

AW: iptables/netfilter

  Alt 6. Jan 2011, 21:02
Dieser Beitrag war nicht ganz soi ernst gemeint
Markus Kinzler
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#9

AW: iptables/netfilter

  Alt 6. Jan 2011, 21:38
shorewall generiert doch nur iptables regeln.
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.861 Beiträge
 
Delphi 11 Alexandria
 
#10

AW: iptables/netfilter

  Alt 6. Jan 2011, 21:43
Wie gsagt, war der Beitrag nicht ganz Ernst gemeint
http://www.delphipraxis.net/157246-d...ihr-damit.html
Markus Kinzler
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:24 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz