Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Betriebssysteme (https://www.delphipraxis.net/27-betriebssysteme/)
-   -   iptables/netfilter (https://www.delphipraxis.net/157294-iptables-netfilter.html)

Assarbad 6. Jan 2011 19:25
Betriebssystem: Linux
iptables/netfilter
 
Kennt jemand eine Methode die aktuellen Regeln mit iptables auszulesen um sie nicht doppelt einzufügen?

Ich würde quasi gern meinem Firewallskript einen Aktualisierungsmodus verpassen bei dem ich nur Regeln einfüge, die noch nicht existieren.

Kennt da jemand eine relativ unkomplizierte Methode?

Valle 6. Jan 2011 19:47
AW: iptables/netfilter
 
Kannst du mit der Ausgabe von folgendem Befehl was anfangen?

Code:
iptables-save
Ansonsten wirst du wohl eine eigene Datenbank über die Regelsätze mitführen müssen.

Oder eben alle Regeln erst löschen. So schwer ist das ja dann auch nicht.

Code:
iptables -F
iptables -X
<neue Regeln erstellen>
Btw, die schönste und einfachste Methode die ich kenne könnte vielleicht auch interessant sein. In /etc/network/if-down.d/ wird ein Script gelegt, welches alle Regeln exportiert. Dieses beinhaltet einfach nur "iptables-save > /etc/iptables.conf" und evtl. das IPv6-Equivalent und wird immer ausgeführt wenn das Netzwerkinterface heruntergefahren wird, also auch bei einem Reboot. Das zweite Script lädt die Regeln via "iptables-restore < /etc/iptables.conf" wieder und befindet sich in /etc/network/if-up.d/. Editiert wird einfach per Kommandozeile, eine Config-Datei gibt es nicht.

Liebe Grüße,
Valentin

Assarbad 6. Jan 2011 19:53
AW: iptables/netfilter
 
Danke für die Antwort.

Zitat:
Zitat von Valle (Beitrag 1072761)
Kannst du mit der Ausgabe von folgendem Befehl was anfangen?

Code:
iptables-save
Jupp, hatte ich schon dran gedacht, ist leider nicht komplett identisch mit dem was ich bei Erstellung der Regel übergebe.

Zitat:
Zitat von Valle (Beitrag 1072761)
Oder eben alle Regeln erst löschen. So schwer ist das ja dann auch nicht.
Das schon, es gibt aber auch Regeln von anderer Seite. Deswegen überhaupt dieser "komplizierte" Ansatz.

Zitat:
Zitat von Valle (Beitrag 1072761)
Btw, die schönste und einfachste Methode die ich kenne könnte vielleicht auch interessant sein. In /etc/network/if-down.d/ wird ein Script gelegt, welches alle Regeln exportiert. Dieses beinhaltet einfach nur "iptables-save > /etc/iptables.conf" und evtl. das IPv6-Equivalent und wird immer ausgeführt wenn das Netzwerkinterface heruntergefahren wird, also auch bei einem Reboot. Das zweite Script lädt die Regeln via "iptables-restore < /etc/iptables.conf" wieder und befindet sich in /etc/network/if-up.d/. Editiert wird einfach per Kommandozeile, eine Config-Datei gibt es nicht.
Kenne ich. Habe es auf meinem alten Dedi-Server benutzt. Kann ich aber nicht mehr gebrauchen, da ich diverse DNAT- und SNAT-Regeln erstellen will, die etwas dynamisch sind und u.a. auch auf den Namen der Interfaces basieren. Ein Skript mit etlichen for-Schleifen ist also hier die elegantere Methode ...

generic 6. Jan 2011 19:54
AW: iptables/netfilter
 
Du schreibst deine Regeln selbst?
Kennst du shorewall?

Assarbad 6. Jan 2011 19:58
AW: iptables/netfilter
 
Zitat:
Zitat von generic (Beitrag 1072771)
Du schreibst deine Regeln selbst?
Ja.

Zitat:
Zitat von generic (Beitrag 1072771)
Kennst du shorewall?
Habe davon gehört. "Kennen" wäre zuviel behauptet ...

mkinzler 6. Jan 2011 20:00
AW: iptables/netfilter
 
Zudem weis man dann ja nicht, was da genau passiert :stupid:

Assarbad 6. Jan 2011 20:01
AW: iptables/netfilter
 
Zitat:
Zitat von mkinzler (Beitrag 1072780)
Zudem weis man dann ja nicht, was da genau passiert :stupid:
Du meinst bei Shorewall? Naja, das Backend ist iptables und ich kann mir ja angucken was rausgekommen ist.

Vorteil von iptables-save/-restore ist übrigens, daß die Zähler erhalten bleiben. Bei Neustart oder nur Netzwerkneustart ne coole Sache.

mkinzler 6. Jan 2011 20:02
AW: iptables/netfilter
 
Dieser Beitrag war nicht ganz soi ernst gemeint :zwinker:

generic 6. Jan 2011 20:38
AW: iptables/netfilter
 
shorewall generiert doch nur iptables regeln.

mkinzler 6. Jan 2011 20:43
AW: iptables/netfilter
 
Wie gsagt, war der Beitrag nicht ganz Ernst gemeint
http://www.delphipraxis.net/157246-d...ihr-damit.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:44 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz