对于iptables设置,我有很多规则(路由,ssh禁止等),我还从此处http://blacklist.linuxadmin.org上选择了要禁止的IP列表,现在它变得非常复杂。
我/etc/sysconfig/iptables真的很长。有没有办法通过包含来自外部文件的规则来管理规则?
例如:
#include "pre_routing_rules"
#include "ssh_bans"
这将包括在文件“ pre_routing_rules”和“ ssh_bans”中添加的规则。这样,我可以轻松管理自己的规则而无需在中四处寻找cat /etc/sysconfig/iptables。
Answers:
尝试iptables的ipsets。ipset是单独配置的,如果您有足够的ip地址来管理,它们也将更快。
iptables规则可以这样引用ipset:
iptables -A FORWARD -m set --set阻止列表src,dst -j DROP
一个简单的解决方案是为每个部分使用多个bash脚本,例如:
iptables-routing.sh
iptables-ssh-bans.sh
iptables-blacklist.sh
并从主脚本运行此文件。
iptables不会直接读取文件,这是通过名为iptables-restore的程序完成的。通常从您的一个初始化脚本中调用它。
您可以在iptables-restore行中添加其他输入文件。您必须找到此行在系统上的位置,但在我的Debain框中,它在/etc/init.d/nat中
该行当前显示如下:
/sbin/iptables-restore < /etc/network/iptables
也许可以将其更改为以下内容:
cat /etc/network/iptables \
/etc/network/pre_routing_tables \
/etc/network/ssh_bans | /sbin/iptables-restore
我倾向于使用许多iptables防火墙脚本/工具之一,例如Firestarter或Shorewall,它们带有许多文件(按目的分开),添加有趣的规则以防止某些类型的虚假数据包,并且它们通常可以正常工作好。