Я работаю с продуктом на CentOS, которому время от времени требуется автоматически добавлять и удалять правила из конфигурации iptables. Например, во время обновления мы хотим явно отклонить входящий трафик службы до тех пор, пока обновление не будет завершено. В настоящее время подход, используемый в коде обновления, заключается в использовании sedи других утилит обработки текста для комментирования соответствующих строк в файле конфигурации, перезапуска службы iptablesс новым файлом конфигурации, а затем обратного процесса в конце обновления и повторного перезапуска службы.
Мне кажется, что лучшим подходом было бы использовать iptables -D table rule-specificationкоманду в начале процесса, а затем iptables -A table rule-specificationв конце обновления.
Самой большой проблемой, которую я вижу при автоматическом манипулировании файлом конфигурации, является его хрупкость: существуют системные инструменты, которые перезаписывают файл конфигурации и могут изменять порядок параметров и т. д., что может привести к нарушению синтаксического анализа текста ( service iptables saveпример).
Какой подход рекомендуется для внесения подобных изменений в конфигурацию системы из кода и почему?
решение1
Большинство людей, оказавшись в подобной ситуации, справляются с ней абстрагированно.
Например. Вместо того, чтобы иметь один файл с вашим набором правил, почему бы не создать набор файлов с вашими правилами и не объединить их вместе.
Например, вы можете добавлять отдельные правила в файлы с такими именами.
/etc/iptables-rules/00_flush_drop
/etc/iptables-rules/20_permitotherstuff
/etc/iptables-rules/10_permitssh
/etc/iptables-rules/99_drop
Затем просто запустите набор правил с помощью run-parts /etc/iptables-rules. Если вам нужно добавить еще один набор правил, просто временно вставьте add a file. и затем удалите по мере необходимости.
Вам также следует настоятельно рассмотреть настройку и использование ЦЕПЕЙ в вашей конфигурации. Цепи — это своего рода подпрограммы. Например, вы можете добавить правило в самом верху вашего брандмауэра, чтобы перейти в цепочку. Цепи имеют политику по умолчанию RETURN. Поэтому, когда вам нужно добавить временное правило, вы просто вставляете его в эту ЦЕПОЧКУ. Когда она вам больше не нужна, просто очистите эту конкретную цепочку.