Sebastian Suchanek: > > Ich habe da eine Wheezy-Kiste, an die ich kurzfristig nur per SSH > 'rankomme. Auf der würde ich gerne die Firewall > ("arno-iptables-firewall") umkonfigurieren. Ehrlich gesagt weiß ich > nicht, wie die (Um)konfiguration im Detail abläuft, würde aber vermuten, > dass die iptables-Regeln zunächst alle komplett gelöscht und dann neu > gesetzt werden. Wird im Allgemeinen so sein. Hängt konkret aber davon ab, wie oder womit Du das machst. > Was ich nun gerne wissen würde: Was passiert mit der laufenden > SSH-Session während dieses mutmaßlichen iptables-Regeln-Löschens und > -Neu-Setzens? Bleibt die bestehen oder wird die mit "abgeräumt"? Iptables filtert einzelne Pakete. Das Löschen und Neusetzen der Regeln zwischen zwei einkommenden Paketen hat keinen Einfluss auf die Verbindung -- natürlich müssen die neuen Regeln die Pakete auch durchlassen. Risikoreich ist das also auf jeden Fall. Wenn Du stateful filterst (related/established), macht das auch nichts. Der Kernel flusht nicht wegen iptables seine Tabellen der offenen Verbindungen. Es kann natürlich immer sein, dass ein Paket Deiner Verbindung zu einem ungünstigen Zeitpunkt (Policy REJECT ist gesetzt, Regel zum Erlauben von SSH noch nicht) eintrifft und deswegen verworfen oder abgelehnt wird. In letzterem Fall schließt der Server Dir die Verbindung und Du musst sie neu aufbauen. Ich würd das in jedem Fall mit screen bzw. tmux machen, dann verlierst Du nach dem Reconnect zumindest nicht Deine Shell. Nüchtern und ausgeschlafen hilft auch. ;-) (Ich hab mal mit einer halben Flasche Wein im Kopf mkfs statt fsck getippt. Private Kiste, natürlich.) J. -- I see weapons of mass destruction as shameful but necessary. [Agree] [Disagree] <http://archive.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature