Por que as regras do Iptables não persistem por padrão?

Question

Existem vários problemas com isso.

Nem todo mundo usa iptableso programa diretamente. Algumas pessoas podem usar wrappers, por exemplo ufw. Nesse caso, é melhor não armazenar regras brutas, mas sim criar um wrapper para gerá-las a partir de sua própria configuração persistente.
Várias ferramentas em torno do iptables não esperam sua persistência. Por exemplo, se você usar fail2ban, ele adiciona regras de iptables quando o jail inicia e as remove quando para. Se você salvar regras com netfilter-persistent no meio e reinicializar um host, ele se lembrará de tudo o que o fail2ban fez e então, quando o fail2ban for iniciado, ele adicionará tudo novamente. Após vários ciclos, você encontrará seus iptables inchados com itens fail2ban duplicados.

Pode haver outros problemas. Então você usa a persistência de regras brutas quando sabe que precisa exatamente disso. Certamente nem todo mundo precisa disso.

Answer 1

Existem vários problemas com isso.

Nem todo mundo usa iptableso programa diretamente. Algumas pessoas podem usar wrappers, por exemplo ufw. Nesse caso, é melhor não armazenar regras brutas, mas sim criar um wrapper para gerá-las a partir de sua própria configuração persistente.
Várias ferramentas em torno do iptables não esperam sua persistência. Por exemplo, se você usar fail2ban, ele adiciona regras de iptables quando o jail inicia e as remove quando para. Se você salvar regras com netfilter-persistent no meio e reinicializar um host, ele se lembrará de tudo o que o fail2ban fez e então, quando o fail2ban for iniciado, ele adicionará tudo novamente. Após vários ciclos, você encontrará seus iptables inchados com itens fail2ban duplicados.

Pode haver outros problemas. Então você usa a persistência de regras brutas quando sabe que precisa exatamente disso. Certamente nem todo mundo precisa disso.

Por que as regras do Iptables não persistem por padrão?

Responder1

informação relacionada