सवाल सभी iptables नियमों को साफ़ करने का सबसे अच्छा तरीका है


मेरे पास वर्तमान में यह स्निपेट है:

# flush all chains
iptables -F
iptables -t nat -F
iptables -t mangle -F
# delete all chains
iptables -X

क्या कोई संभावना है कि कुछ अभियोग शासन इसे चलाने के बाद जीवित रहेगा?

विचार पूरी तरह से साफ iptables कॉन्फ़िगरेशन है, जिसे आसानी से नए नियमों (कभी भी रूट / ifconfig पैरामीटर) द्वारा प्रतिस्थापित किया जा सकता है।


61
2017-11-11 03:18


मूल




जवाब:


संक्षेप में आपके प्रश्न का उत्तर देने के लिए, नहीं: प्रत्येक तालिका को फ़्लश करने के बाद कोई भी "बचे हुए" नियम नहीं होंगे। हालांकि, पूरी तरह से होने के हित में, आप अंतर्निहित नीति के लिए नीति सेट करना चाह सकते हैं INPUT तथा FORWARD चेन करने के लिए ACCEPT, भी:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X

Ip6tables नियम साफ़ करें:

ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -t nat -F
ip6tables -t mangle -F
ip6tables -F
ip6tables -X

... और यह करना चाहिए। iptables -nvL यह उत्पादन करना चाहिए (या बहुत समान) आउटपुट:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

78
2017-11-11 05:52



आप 'कच्चे' के बारे में भूल गए: iptables -t कच्चे-एफ iptables -t कच्चे -X - kK-Storm


यह सही ढंग से आपके iptables सिस्टम को एक बहुत ही बुनियादी स्थिति में रीसेट करेगा:

iptables-save | awk '/^[*]/ { print $1 } 
                     /^:[A-Z]+ [^-]/ { print $1 " ACCEPT" ; }
                     /COMMIT/ { print $0; }' | iptables-restore

सभी नीतियों को ACCEPT पर रीसेट कर दिया जाएगा साथ ही वर्तमान उपयोग में प्रत्येक तालिका को फ्लश किया जाएगा। निर्मित श्रृंखलाओं के अलावा सभी श्रृंखलाएं अब मौजूद नहीं रहेंगी।


18
2017-11-11 03:57



साफ हैक! हालांकि मैं इस पर निर्भर नहीं हूं, क्योंकि यह हमेशा संभव है कि सहेजने / पुनर्स्थापित प्रारूप में सूक्ष्म परिवर्तन इसे तोड़ दें। शायद एपीआई के साथ चिपकने के लिए सबसे अच्छा है कि iptables उपकरण स्पष्ट रूप से प्रदान करता है, आईएमओ। - Steven Monday
मैंने अपना दिमाग बदल दिया: डेटा प्रारूप को और भी बदलने की संभावना नहीं है, क्योंकि इसका उपयोग इतनी व्यापक रूप से किया जाता है। +1। - Steven Monday
+1, दिलचस्प हैक - Sam Halicke


जब भी मुझे फ़ायरवॉल अक्षम की आवश्यकता होती है तो ऐसा कुछ है:

  • iptables-save > iptables.bak
  • service iptables stop (मैं फेडोरा पर हूँ)

2
2017-11-11 05:13





कोई इसे 1 या 2 कमांड में कर सकता है:

 $ sudo iptables-save > iptables.bak
 $ sudo iptables -F

परिणाम:

$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 3138 packets, 5567K bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3602 packets, 6547K bytes)
pkts bytes target     prot opt in     out     source               destination         

0
2018-04-29 05:13



यदि डिफ़ॉल्ट नीतियां वर्तमान में डीआरओपी पर सेट की गई हैं, तो यह सर्वर से लॉक होने का एक त्वरित तरीका है। तो, नहीं, यह 1 या 2 कमांड प्रक्रिया नहीं है। यदि आप वर्तमान में नहीं हैं तो आपको पहले ACCEPT पर सेट करने की आवश्यकता है। - RyanH