Debian
在初始化環回介面之前載入所有防火牆規則有什麼缺點或危險嗎?
我有相當複雜的
iptables/ip6tables影響多個介面的規則。我想確保防火牆規則始終到位。因為甚至可以為(當時)不存在的介面(例如iptables -A INPUT -i eth999 -j ACCEPT)創建規則,所以我認為我不會將規則與物理介面相關聯,而是與lo始終存在的介面相關聯:# head /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback pre-up /sbin/iptables-restore < /etc/network/IPv4_fw_rules pre-up /sbin/ip6tables-restore < /etc/network/IPv6_fw_rules #這有什麼缺點嗎?
不能保證 lo 首先被初始化(它可能恰好是現在這樣配置的,但這並不意味著它必須是那樣的,它確實可能在將來的某個時候被改變)。
但是為什麼要將它與網路介面相關聯呢?只需添加在網路初始化之前載入的自定義初始化腳本或 systemd 服務,它會執行兩個命令來初始化防火牆。你完成了。無論如何,這就是我配置防火牆的方式…