Iptables - stavový firewall (5)

« zpět na IP tables

V tomto dílu si ukážeme, jak znovunačíst pravidla firewallu lokálně i vzdáleně a předvedeme si, jak zprovoznit naši konfiguraci jako službu.

Znovunačtení pravidel

Abychom mohli načíst nová pravidla firewallu, musíme nejprve vymazat stávající. Použijeme skript od Ondřeje Jombíka. Tento skript byl vytvořen souběžně se skriptem od Petříčka a vzniknul začátkem roku 2002. Odstraní všechna pravidla a uživatelem (tj. naším skriptem) nadefinované řetězce. Původní skript neodstraňoval řetězec logdrop. Opravenou verzi můžete stáhnout zde.

Vytvořme si na rootu složku s názvem firewall. Do ní nakopírujeme skript firewall.06 z minulého dílu. Na stejné místo nakopírujeme skript firewall.off z tohoto dílu. Přesvědčíme se, zda mají oba skripty práva na spouštění. Popřípadě je nastavíme:

# chmod 755 firewall.06

# chmod 755 firewall.off


Pokud jsme iptables ještě nenastavovali, stačí zadat příkaz:

# ./firewall.06

Tato verze skriptu vypíše velké množství ladících informací (lze ve skriptu vypnout - proměnná DEBUG). Pokud pak v konfiguraci něco změníme a chceme načíst nová pravidla, musíme nejprve stará vymazat:

# ./firewall.off

# ./firewall.06


Pokud jsme připojeni k serveru přes SSH, nastává problém. Spustili bychom nejprve vymazání pravidel, ale k nahrání nových bychom se už nedostali, protože bychom si odřízli cestu. Proto můžeme použít následující příkaz, který vykoná obojí najednou:

# ./firewall.off;./firewall.06

Pro ochranu před odříznutím je výhodné vymazat pravidla takovým způsobem, aby bylo vše povoleno. Takovýto firewall-nefirewall jsme si popsali v 2. dílu tohoto seriálu.

Konfigurace jako služba

Co se stane s pravidly iptables po restartu serveru? Samotná pravidla ukládáme vždy na konci skriptu (iptables-save). To znamená, že pravidla i po restartu budou načtená. Co se ale znova neprovede, je načtení modulů. Proto je dobré nechat skript spouštět po startu počítače. K tomu nám pomůže skript gatekeeper. Nakopírujeme jej do /etc/init.d. Pak zadáme příkaz:

# chkconfig --add gatekeeper
Tímto se nám bude skript spouštět po startu systému. Navíc můžeme s konfigurací skripnu nyní manipulovat jako se službou.

Závěr

Dnes jsme si ukázali, jak načítat nová nastavení firewallu. Také jak zabezpečit konfiguraci iptables i napříč restarty. Dále jsme si předvedli jak zprovoznit konfiguraci jako službu. Více vědomostí pro chod iptables na serveru potřeba není.

Autor: Radim Poloch

Klientská sekce pro Vás

Spravujte své domény a hosting pohodlně 24 hodin denně

Kontakt pro zákazníky

Technická podpora

PO-NE 9:00-17:00

E-mail: podpora@banan.cz

Online pracovník

Jakub Turek

+420 553 810 250

Online chat

Zvládáme opensource

Na našich serverech jsme ručně ověřili funkci více než 140 opensource systémů, některé z nich nabízíme na jedno kliknutí v administraci.

Hostované domény

7427 domén 6203 1224

Poslední článek - HOMEPAGE PRVKY

O
Ověřit dostupnost domény
Zákaznické centrum: +420 553 810 250podpora@banan.czNápovědaBlog
Neomezený webový prostor,elektronická pošta, www stránky,nebo wordpress na klik.
Technická podpora 900-1700 X
Online pracovník: Jakub Turek
+420 553 810 250
podpora@banan.cz nebo Online chat
Kontaktovat technickou podporu můžete zde
Neomezený webový prostor,
elektronická pošta,
www stránky,nebo wordpress na klik.
Kontaktovat technickou podporu můžete zde
PO-PÁ 900-1700