Iptables e file con regole

Demin Black Off · 22-02-2007, 15:29

Mi trovo nella seguente situazione :

Chain di input DROP, con elenco di regole di ACCEPT con range del tipo

192.168.0.1/31
192.168.1.0/30
...

Utilizzo una macchina che fa da firewall con cpu scarsa ( pentium 166mmx ) e ogni volta caricare questo elenco ci vuole quasi una mezz'ora.

Iptable permette di puntare una regola direttamente ad un file preformattato ? Cioè dire Accetta se trovi corrispondenza nel file xxx.xxx ?

vampirodolce1 · 22-02-2007, 15:46

Si', puoi usare i comandi iptables-save e iptables-restore ed eventualmente far eseguire il secondo all'avvio.
Alternativamente crea uno script bash contenente le regole che vuoi tu, cosi' come le scriveresti da linea di comando.

P.S. Sembra molto strano che per caricare le regole ci voglia mezz'ora...

Demin Black Off · 22-02-2007, 15:58

Quote:

Originariamente inviato da vampirodolce1

Si', puoi usare i comandi iptables-save e iptables-restore ed eventualmente far eseguire il secondo all'avvio.
Alternativamente crea uno script bash contenente le regole che vuoi tu, cosi' come le scriveresti da linea di comando.

P.S. Sembra molto strano che per caricare le regole ci voglia mezz'ora...

Attualmente faccio cosi, però è poco flessibile dato che devo modificare spesso le regole e ogni volta devo rifare il file, ricaricarlo etc. etc.

Forse un'alternativa a iptables ?

pinok · 23-02-2007, 00:17

Firehol l'hai provato ?
Potrebbe fare al caso tuo ?

W.S. · 23-02-2007, 10:42

ehm... alternativa ad iptables??? Non esiste, iptables è l'unico firewall di linux, gli altri son solo "wrapper" ad esso.
Cmq, mezzora??? non ci credo. Che cosa hai montato sulla macchina? Le regole comportano la risoluzione di indirizzi (e quindi timeout vari)? Se ci mette tanto deve esserci qualcosa che non va nella configurazione della macchina.
Pure io ho usato un 200Mhz come firewall per un po e non ho avuto simili problemi.
Per modificare agevolmente le regole di iptables ti consiglio di usare ssh e immettere le regole direattamente da shell (dopo aver caricato il grosso da script).

W.S. · 23-02-2007, 10:45

Quote:

Originariamente inviato da Demin Black Off

Iptable permette di puntare una regola direttamente ad un file preformattato ? Cioè dire Accetta se trovi corrispondenza nel file xxx.xxx ?

Iptables permette tutto

... solo che ci vuole un po di creatività, ad esempio potresti farti uno script che elabora il file delle corrispondenze ed inserisce le regole opportune.

Demin Black Off · 23-02-2007, 19:08

Quote:

Originariamente inviato da W.S.

Iptables permette tutto

... solo che ci vuole un po di creatività, ad esempio potresti farti uno script che elabora il file delle corrispondenze ed inserisce le regole opportune.

Proprio semplice no, perchè devo comunque togliere le vecchie e metterci le nuove o creare un programma apparte che sa quali sono messe e vede se ci sono differenze con le vecchie etc...

Togliere tutte le vecchie non posso, posso togliere solo quelle che vanno modificate.

Tu hai delle regole di iptables derivanti da un file, ti porta un'altro file diverso, alcune so se stesse, alcune so nuove, altre so state modificate.

Rozzamente crei l'ssh che ti fa il flush e ti mette le nuove, ma questo non lo posso fare.

Non so se il problema è chiaro, perchè ci vuole mezzora

22-02-2007, 15:29	#1
Demin Black Off Senior Member Iscritto dal: Mar 2005 Città: Napoli Messaggi: 2942	Iptables e file con regole Mi trovo nella seguente situazione : Chain di input DROP, con elenco di regole di ACCEPT con range del tipo 192.168.0.1/31 192.168.1.0/30 ... Utilizzo una macchina che fa da firewall con cpu scarsa ( pentium 166mmx ) e ogni volta caricare questo elenco ci vuole quasi una mezz'ora. Iptable permette di puntare una regola direttamente ad un file preformattato ? Cioè dire Accetta se trovi corrispondenza nel file xxx.xxx ? __________________

22-02-2007, 15:46	#2
vampirodolce1 Senior Member Iscritto dal: Jul 2006 Messaggi: 1175	Si', puoi usare i comandi iptables-save e iptables-restore ed eventualmente far eseguire il secondo all'avvio. Alternativamente crea uno script bash contenente le regole che vuoi tu, cosi' come le scriveresti da linea di comando. P.S. Sembra molto strano che per caricare le regole ci voglia mezz'ora... __________________ Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200 [Debian 7.0 Wheezy] Installazione, consigli e trucchi

23-02-2007, 10:42	#5
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	ehm... alternativa ad iptables??? Non esiste, iptables è l'unico firewall di linux, gli altri son solo "wrapper" ad esso. Cmq, mezzora??? non ci credo. Che cosa hai montato sulla macchina? Le regole comportano la risoluzione di indirizzi (e quindi timeout vari)? Se ci mette tanto deve esserci qualcosa che non va nella configurazione della macchina. Pure io ho usato un 200Mhz come firewall per un po e non ho avuto simili problemi. Per modificare agevolmente le regole di iptables ti consiglio di usare ssh e immettere le regole direattamente da shell (dopo aver caricato il grosso da script). __________________ [ W.S. ]

23-02-2007, 00:17	#4
pinok Senior Member Iscritto dal: Jun 2001 Città: Alessandria (provincia) Messaggi: 4772	Firehol l'hai provato ? Potrebbe fare al caso tuo ?

Strumenti
Mostra una versione stampabile Invia questa pagina per email