リモートシステムで「iptables」を安全に設定しますか?

リモートシステムで「iptables」を安全に設定しますか?

イーサネット経由でのみアクセスできるシステムで複雑なIPテーブル構成を構成したいと思います。

避けられないタイプミスを回復するためのベストプラクティスは何ですか?たとえば、「https://unix.stackexchange.com/questions/124238/configure-iptables-on-remote-server-without-locking-me-up」を参照してください。

理想的には:

  • 最新のルールを自動的に削除するには、1分間「元に戻す」が必要です。
  • INPUTただし、行テーブルと行テーブルにまたがるNAT行番号の範囲を削除する簡単な方法が見つかりません。

上記のリンクの規則は、INPUTすべてのiptable混乱を防ぐのに十分ですか(たとえば、NATを使用)

答え1

(新しい)SSHクライアント接続があるかどうかを確認するためにcrondスクリプトを書くことができます。それ以外の場合は無効になりますiptables。ルールに満足したら、スクリプトを無効にします。


ご意見にお答えください。次の内容でスクリプトを作成します。

#! /bin/bash
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

それを呼び出しdisable-iptables.sh、実行可能にしてchmod a+x disable-iptables.sh実行します。./disable-iptables.sh

関連情報