Centos 7 сохранить настройки iptables

58

Проблема: iptables сбрасывает настройки по умолчанию после перезагрузки сервера.

Я пытаюсь установить правило так:

iptables -I INPUT -p tcp --dport 3000 -j ACCEPT

после этого я делаю:

service iptables save

и он пишет что-то вроде этого

iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

и после этого я просто побежал (это было сделано один раз):

chkconfig iptables on (Я читал, что это нужно сделать, чтобы восстановить настройки после перезагрузки)

После этого я перезагружаюсь и запускаю эту команду:

systemctl list-unit-files | grep iptables

и я вижу, что iptables.service включен, однако правило (открыть порт 3000) больше не работает.

Как мне сохранить эти настройки?

centos iptables centos7

— user1463822
источник

Почему ты просто не использовал firewalld? Это, вероятно, все еще работает.

— Майкл Хэмптон

Возможно, потому что firewalld не подходит для серверных сред ...

— Хуан Хименес

67

CentOS 7 использует FirewallD сейчас!

Пример:

firewall-cmd --zone=public --add-port=3000/tcp --permanent

перезагрузить правила:

firewall-cmd --reload

— roothahn
источник

2

любая идея, почему изображение centos7 от AWS AMI не имеет firewallD.

— Саад Масуд

5

ИЛИ вы можете отключить firewalld и установить пакет «iptables-services» для достижения почти родной совместимости с iptables :)

— vagarwal

1

Я попытался настроить переадресацию портов 80 -> 8180 для lo ( --zone=trusted) с помощью firewalld-cmd, но он не работает (работает в --zone=public). Это

sudo /sbin/iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8180 ; sudo /sbin/iptables -t nat -I OUTPUT -o lo -p tcp --dport 80 -j REDIRECT --to-port 8180

работает с iptables (но каждый firewalld --reloadпроигрывает при этом)

— djb

@saad: потому что aws уже предоставляет службу брандмауэра, следовательно, ami может быть небольшим

— roothahn

Это не так! Я заказал Centos 7 VPS, и он имеет iptables по умолчанию! Версия ОС: 7.5.1804 (Core)

— codezombie

66

Отключите firewalld с помощью следующей команды:

systemctl disable firewalld

Затем установите iptables-service, выполнив следующую команду:

yum install iptables-services

Затем включите iptables как сервисы:

systemctl enable iptables

Теперь вы можете сохранить ваши правила iptable, выполнив следующую команду:

service iptables save

— HosseinGBI
источник

22

В CentOS 7 Minimal вам может понадобиться установить iptables-servicesпакет (спасибо @RichieACC за предложение ):

sudo yum install -y iptables-services

А затем включите сервис, используя systemd:

sudo systemctl enable iptables.service

И запустите initscript, чтобы сохранить правила брандмауэра:

sudo /usr/libexec/iptables/iptables.init save

— qris
источник

2

Может быть, такой сценарий был бы полезен для всех?

Остерегайтесь того, что вы потеряете все, что настроено в данный момент, потому что оно удаляет firewalld и сбрасывает все текущие правила в таблице INPUT :

yum remove firewalld && yum install iptables-services

iptables --flush INPUT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT            # Any packages related to an existing connection are OK
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT   # ssh is OK
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 3000 -j ACCEPT   # Port 3000 for IPv4 is OK
iptables -A INPUT -j REJECT # any other traffic is not welcome - this should be the last line
service iptables save       # Save IPv4 IPTABLES rules van memory naar disk
systemctl enable iptables   # To make sure the IPv4 rules are reloaded at system startup

Я предполагаю, что вы хотите то же самое в случае, если ваша система может быть достигнута (сейчас или в любое время позже) трафиком IPv6:

ip6tables --flush INPUT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT            # Any packages related to an existing connection are OK
ip6tables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT   # ssh is OK
ip6tables -A INPUT -m state --state NEW -m tcp -p tcp --dport 3000 -j ACCEPT   # Port 3000 for IPv6 is OK
ip6tables -A INPUT -j REJECT # any other traffic is not welcome - this should be the last line
service ip6tables save       # Save IPv6 IPTABLES rules van memory naar disk
systemctl enable ip6tables   # To make sure the IPv6 rules are reloaded at system startup

— JohannesB
источник

1

Вы можете изменить файл / etc / sysconfig / iptables напрямую. Перезагрузите службу iptables, чтобы перезагрузить правила из этого файла. Тем не менее, как вам уже сказали, firewalld - это новая система межсетевого экрана по умолчанию для Centos, и это хороший шанс узнать, как ее использовать, не так ли?

— под кайфом
источник

7

в CentOS7 больше нет файла / etc / sysconfig / iptables

— roothahn

1

Извините @roothahn, но он определенно существует ... если, конечно, вы не пропустите некоторые пакеты. Из /usr/lib/systemd/system/iptables.service вы можете увидеть, что на самом деле запущен файл "/usr/libexec/iptables/iptables.init start", который представляет собой обычный старый и дорогой скрипт, который ищет обычный старый файл конфигурации в / etc / sysconfig

— камнями

1

Да /etc/sysconfig/iptables, для меня тоже не существует. Тем /etc/sysconfig/iptables-configне менее, существует. Но у него нет правил брандмауэров внутри него, как у iptablesфайла раньше.

— Кентграв

2

Я обнаружил, что файл не был там по умолчанию, минимальная установка либо. Кажется, CentOS 7 не устанавливает iptables.service по умолчанию. "yum install -y iptables.service" установил службу и создал для меня файл по умолчанию / etc / sysconfig / iptables.

— RichieACC

3

Это должно быть "yum install iptables-services"

— qris

0

iptables-save

сохранит текущую конфигурацию без необходимости устанавливать какие-либо другие библиотеки или службы.

— stormdrain
источник