このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

iptables.shについて このメッセージに返信する
日時: 2014/11/03(Mon) 08:42
名前: stranger
URL: http://ja.528p.com/
CentOS 6.x の場合です

iptables.shで
最後に
iptables-restoreを実行して一時ファイルを読み込んでファイアウォールを設定しますが
iptables-restoreは/etc/sysconfig/iptablesを書き換えないので
/etc/rc.d/init.d/iptables startを実行すると
古い/etc/sysconfig/iptablesを読み込んでしまうと思います

iptables-restoreを実行した時点でファイアウォールが設定されるので
/etc/rc.d/init.d/iptables saveのみを実行すればよいのでは?

実験
/etc/sysconfig/iptablesをコピーしてiptables.newをつくる
iptables.newに設定を追加する

/etc/rc.d/init.d/iptables stop
cp /etc/sysconfig/iptables /etc/sysconfig/iptables.new
vi /etc/sysconfig/iptables.new
iptables-restore /etc/sysconfig/iptables.new
iptables -L -n -v
/etc/rc.d/init.d/iptables start
iptables -L -n -v

追伸
/etc/sysconfig/iptables-configで
IPTABLES_SAVE_ON_RESTART="yes"
に設定すれば
/etc/init.d/iptables restart

saveした後、stopしてstartしますね

iptables-restoreを使うなら
iptables-restoreは追加設定ではなく再設定なので
最初の/etc/rc.d/init.d/iptables stop
も必要ないかも

iptables-restoreを使わずに
単純に一時ファイルを/etc/sysconfig/iptablesに書き出して
iptablesスクリプトをstartさせた方が良いのでは?
記事編集 編集

Page: | 1 | 2 |

Re: iptables.shについて このメッセージに返信する
日時: 2014/11/06(Thu) 09:12
名前: 田上拡志
URL:
管理人様、いつもサイトを利用させていただき有難うございます。
昔のiptables.shよりだいぶ早くなってるので驚いています。

素人考えでは$IPTABLES_CONFIGが完成した後、つまり
cat $IPTABLES_CONFIG | iptables-restore の直前でiptables起動スクリプトを停止すれば
そんなに影響が無い感じがします。(って言うか自分のはそうしてます)
記事編集 編集
Re: iptables.shについて このメッセージに返信する
日時: 2014/11/06(Thu) 16:39
名前: stranger
URL: http://ja.528p.com/
CentOS 6.6の場合です

modprobeとsysctlをiptables起動スクリプトに頼らずに
別のところで実行すれば問題ないと思いますけど

/etc/rc.d/init.d/iptablesスクリプトでは
/etc/sysconfig/iptables-configの
下記の部分(デフォルト)が読み込まれて使われます
IPTABLES_MODULES=""
IPTABLES_MODULES_UNLOAD="yes"
#IPTABLES_SYSCTL_LOAD_LIST=".nf_conntrack .bridge-nf"
ここに何かを記述しておけば、起動時に設定されます

/etc/rc.d/init.d/iptables stopを実行すると
IPTABLES_MODULES_UNLOAD="yes"が設定されている場合
モデュールが外されます

iptablesのモデュールは必要があれば自動で組み込まれますが
設定しないとうまくいかないものもあります

lsmod

sysctl -a
で状態を確かめながらやってみればいいと思います
記事編集 編集
Re: iptables.shについて このメッセージに返信する
日時: 2014/11/06(Thu) 21:03
名前: JC
URL:
お世話になります。

参考にさせていただいております。

IptablesとFail2Banを併用することは邪道でしょうか。

ssh-Fail2Banで制御やひつこいアタックなどを制御するので利用してます。

アドバイスお願いします。
記事編集 編集
Re: iptables.shについて このメッセージに返信する
日時: 2014/11/07(Fri) 07:56
名前: stranger
URL: http://ja.528p.com/
ssh マルチポート
でnet検索してみましょう
そっちの方が簡単だと思う
ただし、port指定して開放できるルータが必要
ほとんでできると思いますが
私的な意見なので.....
記事編集 編集
Re: iptables.shについて このメッセージに返信する
日時: 2014/11/07(Fri) 22:22
名前: ZED
URL:
Fail2Banはepelからyumで全て入るし楽ですよね。

特に併用しても問題ありません。
PBX関係やら色んな定義が入ってるので有効ですよ。
centos7でも使えますから うちも使ってます。
記事編集 編集
Re: iptables.shについて このメッセージに返信する
日時: 2014/11/08(Sat) 11:51
名前: JC
URL:
有難うございました。

iptablesで一度保存した設定に対して、上書きで破棄してしまうのか
心配でしたので。

Fail2Banの仕様について、更に勉強します。
記事編集 編集
Re: iptables.shについて このメッセージに返信する
日時: 2014/11/15(Sat) 12:59
名前: 管理人
URL:
stranger様

追加のご指摘ありがとうございます。早速修正しましたのでご確認ください。

http://centossrv.com/iptables.shtml

いつも的確なご指摘まことにありがとうございます。
またなにか誤り等ありましたら、是非、ご指摘を頂けますよう、よろしくお願い申し上げます。
記事編集 編集
Re: iptables.shについて このメッセージに返信する
日時: 2014/11/15(Sat) 16:43
名前: stranger
URL: http://ja.528p.com/
レスもないようですので、一度閉じておきます
何年かしたら、nftablesに主流が移るんですかね
記事編集 編集
Re: iptables.shについて このメッセージに返信する
日時: 2014/11/29(Sat) 07:03
名前: 通りすがり
URL:
StrangerさんもCentOS7を検証されてるようですが、
firewalldにはしないのですか?

俺はipv6が使えるさくらVPSでCentOS7で試していますが、
やっぱりiptablesとip6tablesになります。
記事編集 編集
Re: iptables.shについて このメッセージに返信する
日時: 2014/11/29(Sat) 12:47
名前: stranger
URL: http://ja.528p.com/
メモリとHDを購入して、CentOS7を入れてほんのすこし
KVMでCentOS6.6環境をこさえて、1920x1080の大きさにするのに数日
CentOS7のデスクトップにスクリプトのショートカットを作るのに数日
お気に入りにアプリを追加したり、順番を変えたりするのに数日
CentOS7は初心者ですから

追記
Red_Hat_Enterprise_Linux-7-Desktop_Migration_and_Administration_Guide-en-US.pdf
を読んでます
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -