Ich würde mich freuen, wenn ich herausfinden könnte, warum iptables-Regeln nicht dauerhaft vorhanden sind, wenn sie standardmäßig gespeichert werden, ohne dass ich ein neues Paket mit dem Namen „netfilter-persistent“ installieren muss.
Danke.
Antwort1
Damit sind mehrere Probleme verbunden.
- Nicht jeder verwendet
iptablesdas Programm direkt. Manche Leute verwenden Wrapper, z. B.ufw. In diesem Fall ist es besser, keine Rohregeln zu speichern, sondern einen Wrapper zu erstellen, der sie aus seiner eigenen persistenten Konfiguration generiert. - Mehrere Tools rund um iptables erwarten keine Persistenz. Wenn Sie beispielsweise verwenden
fail2ban, fügt es iptables-Regeln hinzu, wenn das Jail startet, und entfernt sie, wenn es beendet wird. Wenn Sie zwischendurch Regeln mit netfilter-persistent speichern und einen Host neu starten, merkt es sich alles, was fail2ban getan hat, und fügt dann, wenn fail2ban startet, alles erneut hinzu. Nach mehreren Zyklen werden Sie feststellen, dass Ihre iptables mit dupliziertem fail2ban-Zeug aufgebläht sind.
Es kann noch andere Probleme geben. Sie verwenden also reine Regelpersistenz, wenn Sie genau wissen, dass Sie das brauchen. Sicherlich braucht das nicht jeder.