Como posso verificar se já existe uma regra do iptables?

41

Eu preciso adicionar uma regra ao iptables para bloquear as conexões a uma porta tcp da Internet.

Como meu script pode ser chamado várias vezes e não há um script para excluir a regra, desejo verificar se já existe uma regra do iptables antes de inseri-la - caso contrário, haverá muitas regras de dup na cadeia INPUT.

iptables

— sete vezes
fonte

Alternativamente, usar este invólucro, o qual fornece idempotente interacção iptables: xyne.archlinux.ca/projects/idemptables

— sampablokuper

44

Há uma nova -C --checkopção nas versões recentes do iptables.

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
iptables: Bad rule (does a matching rule exist in that chain?).
# echo $?
1

# iptables -A INPUT -p tcp --dport 8080 --jump ACCEPT

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
# echo $?
0

Para versões mais antigas do iptables, eu usaria a sugestão de Garrett:

# iptables-save | grep -- "-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT"

— Marc MAURICE
fonte

12

A nova -Copção não é satisfatória, pois está aberta a uma condição de corrida de tempo de verificação até o tempo de uso (TOCTTOU). Se dois processos tentarem adicionar a mesma regra ao mesmo tempo, -Cnão os protegerá de adicioná-la duas vezes.

Portanto, não é realmente melhor que a grepsolução. Um trabalho preciso de processamento de texto na saída de iptables-savepode funcionar com a maior confiabilidade possível -C, pois essa saída é uma captura instantânea confiável do estado das tabelas.

O que é necessário é uma --ensureopção que verifique e adicione atomicamente uma regra apenas se ela ainda não existir. Além disso, seria bom se a regra fosse movida para a posição correta, onde uma nova regra seria inserida se ela já não existisse ( --ensure-move). Por exemplo, se iptables -I 1for usada para criar uma regra no início de uma cadeia, mas essa regra já existir na sétima posição, a regra existente deverá passar para a primeira posição.

Sem esses recursos, acho que uma solução possível é escrever um loop de script de shell com base neste pseudo-código:

while true ; do
  # delete all copies of the rule first

  while copies_of_rule_exist ; do
    iptables -D $RULE
  done

  # now try to add the rule

  iptables -A $RULE # or -I 

  # At this point there may be duplicates due to races.
  # Bail out of loop if there is exactly one, otherwise
  # start again.
  if exactly_one_copy_of_rule_exists ; then
    break;
  fi
done

Esse código pode girar; não garante que dois ou mais corredores saiam dentro de um número fixo de iterações. Alguns adormecimentos exponenciais aleatórios podem ser adicionados para ajudar nisso.

— Kaz
fonte

11

Posso acrescentar que esse comando não é satisfatório pelo simples motivo de que você precisa identificar exatamente como sua regra foi adicionada. Eu fiz o teste com a minha configuração, e não poderia encontrar uma regra porque eu não especificou as palavras exatas e valores ...

— Fabien Haddadi

Se você remover temporariamente uma regra, poderá quebrar alguma coisa ...

— Mehrdad 27/04

5

Isso pode parecer um pouco atrasado, mas funciona para mim - tente excluir a regra primeiro.

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP;

Você deve receber uma mensagem semelhante a:

iptables: Regra incorreta (existe uma regra correspondente nessa cadeia?)

Em seguida, basta adicionar sua regra normalmente:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP;

— recurso
fonte

11

Abrir um buraco indesejado no firewall, apenas para simular um comando idempotente, provavelmente não é uma boa ideia. Claro, o buraco deve ser temporário, mas ainda melhora as chances de um atacante. E se algo interromper a adição da regra de substituição, o buraco poderá persistir indefinidamente.

— precisa saber é o seguinte

Bom ponto @sampablokuper: esta estratégia é provavelmente apenas adequado para ACEITAR regras e não deixar cair queridos, por razões de segurança

— lucaferrario

Acabei fazendo a mesma coisa!

— warhansen

4

Basta listar e procurar por ele?

iptables --list | grep $ip

... ou no entanto você tem a regra especificada. Se você usá- grep -qlo, não produzirá nada, e você pode apenas verificar o valor de retorno com$?

— Jonathon Reinhart
fonte

3

Em iptables-save|grep $ipvez disso, sugiro que seja um formato mais facilmente analisável, especialmente em um script. Você também pode verificar a sintaxe exata do comando, se desejar.

— 22411 Garrett #

11

Nenhum deles realmente responde à pergunta, porque iptables-save|grep $ippoderia muito bem corresponder a várias regras. Possivelmente iptables-savepoderia ser usado para verificar a especificação completa da regra, mas isso ainda é um pouco complicado: o formato retornado por iptables-savepode não corresponder exatamente à regra no script. iptables-savepode gerar as opções em uma ordem diferente, adicionar coisas (como -m tcp) e assim por diante.

— larsks

Lembre-se de que iptables --listtentará resolver portas conhecidas. Portanto, certifique-se disso antes de grep para uma porta.

— Fabien Haddadi

0

Que tal primeiro adicionar e remover duplicatas, conforme descrito em https://serverfault.com/questions/628590/duplicate-iptable-rules . O mais fácil (para linhas adjacentes) parece ser

iptables-save | uniq | iptables-restore

— serv-inc
fonte

0

Para evitar regras duplicadas do seu script, adicione a linha abaixo.

iptables -C -INPUT -p tcp --dport 8080 --jump ACCEPT || iptables -A -INPUT -p tcp --dport 8080 --jump ACCEPT

Na primeira vez em que o comando acima é executado, observaremos a mensagem abaixo

iptables: Regra incorreta (existe uma regra correspondente nessa cadeia?).

Isto é apenas para informação. Mas a segunda metade do comando garantiria a adição da regra.

— laxman vallandas
fonte