Re: iptables-Änderungen via SSH?
On Mon, 11 Jan 2016 19:20:24 +0100, Sebastian Suchanek
<sebastian.suchanek@gmx.de> wrote:
>Ich habe da eine Wheezy-Kiste, an die ich kurzfristig nur per SSH
>'rankomme. Auf der würde ich gerne die Firewall
>("arno-iptables-firewall") umkonfigurieren. Ehrlich gesagt weiß ich
>nicht, wie die (Um)konfiguration im Detail abläuft, würde aber vermuten,
>dass die iptables-Regeln zunächst alle komplett gelöscht und dann neu
>gesetzt werden.
Das ist der naive und gefährliche Ansatz.
Brauchbare Tools wie z.B. ferm ändern die Regeln, fragen dann ob alles
OK war und rollen in Abwesenheit einer Antwort nach ein paar Sekunden
auf den alten Zustand zurück.
>Was ich nun gerne wissen würde: Was passiert mit der laufenden
>SSH-Session während dieses mutmaßlichen iptables-Regeln-Löschens und
>-Neu-Setzens?
Das kommt darauf an, wie schnell die "ESTABLISHED,RELATED"-Reel wieder
gesetzt ist.
>Bleibt die bestehen oder wird die mit "abgeräumt"? Bei
>letzterem hätte ich nämlich Bedenken, dass dabei dann auch die
>Firewall-Konfigurationsskript abbricht, die iptables-Einstellungen
>folglich in einem mehr oder weniger undefinierten Zustand sind und die
>Kiste gar nicht mehr erreichbar ist...
Bei einem ganz naiven Ansatz, insbesondere bei einem der Marke
"paranoid", kann das ganz leicht passieren.
Das gemeinste, was ich mal gesehen habe war "Policy DROP, alles
löschen, reject all, dahinter dann die 'richtigen' Regeln aufbauen,
zählen wie lang die Konfiguration ist und erst ganz zum Schluss, wenn
die Anzahl der angekommenen Regeln genau dem entspricht was man sich
gedacht hat, das initiale reject all wegnehmen".
Kann man machen. Aber wehe man hat keine Konsole.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: