Sebastian Suchanek:
>
> Ich habe da eine Wheezy-Kiste, an die ich kurzfristig nur per SSH
> 'rankomme. Auf der würde ich gerne die Firewall
> ("arno-iptables-firewall") umkonfigurieren. Ehrlich gesagt weiß ich
> nicht, wie die (Um)konfiguration im Detail abläuft, würde aber vermuten,
> dass die iptables-Regeln zunächst alle komplett gelöscht und dann neu
> gesetzt werden.
Wird im Allgemeinen so sein. Hängt konkret aber davon ab, wie oder womit
Du das machst.
> Was ich nun gerne wissen würde: Was passiert mit der laufenden
> SSH-Session während dieses mutmaßlichen iptables-Regeln-Löschens und
> -Neu-Setzens? Bleibt die bestehen oder wird die mit "abgeräumt"?
Iptables filtert einzelne Pakete. Das Löschen und Neusetzen der Regeln
zwischen zwei einkommenden Paketen hat keinen Einfluss auf die
Verbindung -- natürlich müssen die neuen Regeln die Pakete auch
durchlassen. Risikoreich ist das also auf jeden Fall.
Wenn Du stateful filterst (related/established), macht das auch nichts.
Der Kernel flusht nicht wegen iptables seine Tabellen der offenen
Verbindungen.
Es kann natürlich immer sein, dass ein Paket Deiner Verbindung zu einem
ungünstigen Zeitpunkt (Policy REJECT ist gesetzt, Regel zum Erlauben von
SSH noch nicht) eintrifft und deswegen verworfen oder abgelehnt wird. In
letzterem Fall schließt der Server Dir die Verbindung und Du musst sie
neu aufbauen.
Ich würd das in jedem Fall mit screen bzw. tmux machen, dann verlierst
Du nach dem Reconnect zumindest nicht Deine Shell. Nüchtern und
ausgeschlafen hilft auch. ;-) (Ich hab mal mit einer halben Flasche Wein
im Kopf mkfs statt fsck getippt. Private Kiste, natürlich.)
J.
--
I see weapons of mass destruction as shameful but necessary.
[Agree] [Disagree]
<http://archive.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature