iptables非常に複雑でip6tables複数のインターフェースに影響を与える規則があります。ファイアウォールルールが常に維持されるようにしたいと思います。 (たとえば)(当時)存在しないインターフェイスに対してもルールを作成することが可能であるため、iptables -A INPUT -i eth999 -j ACCEPTルールを物理インターフェイスではなくlo常に存在するインターフェイスに関連付けると考えました。
# head /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
pre-up /sbin/iptables-restore < /etc/network/IPv4_fw_rules
pre-up /sbin/ip6tables-restore < /etc/network/IPv6_fw_rules
#
これに欠点はありますか?
答え1
loが最初に初期化されるという保証はありません(今はそのように構成されるかもしれませんが、それはそうではありません)。持つそれがすべてであり、将来のある時点では実際に変更される可能性があります。)
しかし、なぜネットワークインターフェイスに接続するのですか?ネットワーク初期化前にロードされるカスタム初期化スクリプトまたはsystemdサービスを追加し、これら2つのコマンドを実行してファイアウォールを初期化するだけです。これで終わりました。とにかく、これはファイアウォールを構成する方法です...