Iptables persistent astra linux

Сохранение и восстановление правил iptables

При включенном защитном механизме «Мандатный контроль целостности» описанные ниже действия необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности

На время выполнения описанных действий необходимо снять запрет на установку бита исполнения в политиках безопасности.

Сохранение текущих правил iptables в файл

Для предотвращения потери изменений в случае нештатного выключения компьютера, сохранение в файл необходимо выполнять сразу после каждого внесения изменений в правила iptables.

Чтобы сохранить текущие правила iptables в файл, например /etc/iptables.rules , необходимо:

Если файл не был создан ранее, то создать пустой файл и ограничить к нему доступ. Для этог в терминале выполнить команды:

Ограничение доступа (ограничение на чтение файла) установлено для предотвращения возможных атак с использованием информации об открытых сетевых портах, которую можно получить из файла с сохраненными правилами iptables.

Автоматическое сохранение правил при штатном выключении компьютера

По умолчанию сценарии, выполняющиеся в автоматическом режиме после выключения сетевого интерфейса, размещены каталоге /etc/network/if-post-down.d/ .

Для обеспечения автоматического сохранения правил iptables после выключения сетевого интерфейса необходимо:

В каталоге /etc/network/if-post-down.d/ создать файл, например iptables , со следующим содержимым:

#!/bin/sh touch /etc/iptables.rules chmod 640 /etc/iptables.rules iptables-save > /etc/iptables.rules exit 0

Автоматическое восстановление правил

По умолчанию сценарии, выполняющиеся в автоматическом режиме перед включением сетевого интерфейса, размещены в каталоге /etc/network/if-pre-up.d/.

Для обеспечения автоматического восстановления правил iptables перед включением сетевого интерфейса необходимо:

В каталоге /etc/network/if-pre-up.d/ создать файл, например iptables , со следующим содержимым:

Источник

Настройки Iptables

Доброго времени суток, нужна помощь в следующем вопросе: ОС АСТРА Смоленск, добавлены правила в iptables через терминал, до перезагрузки все правила работают, при проверке командой в листинге правила видны, после перезагрузки АРМ правила бесследно исчезают, соответственно нужного результата -нет, как заставить iptables сохранить настройки и использовать их и после перезагрузки. Пробовал метод с записью правил в файл и созданием скрипта, выполняющегося при загрузке ПК, не сработало.
Прошу сильно не пинать, опыта работы с линуксом практически нет, если тема была, буду рад ссылке, сам не нашел.
Заранее спасибо.

oko

New member

to Viktor_S
На будущее: пишите дополнительно версию Astra Linux Special Edition.
Primo, удалите firewalld.
Secundo, очистите таблицу правил через sudo /sbin/iptables -t filter -F (mangle, nat по вкусу), добавьте свои правила и создайте файл правил через sudo iptables-save > /etc/iptables.rules.
Tertio, если у вас ALSE 1.5, то добавьте /sbin/iptables-restore /etc/iptables.rules в /etc/rc.local до exit 0. Если у вас ALSE 1.6 и не используется NetworkManager, то добавьте вызов post-up /sbin/iptables-restore /etc/iptables.rules в /etc/network/interfaces.
Last, если используется NetworkManager и не нужно постоянно переключаться между разными сетями — не используйте (удалите) его. В противном случае, простейшим вариантом будет сделать systemd-Unit, отрабатывающий после networking.service, который либо вызывает /sbin/iptables-restore, либо дергает какой-то bash-скрипт с доп.настройками.

Источник

С чего начать настройку любого UNIX сервера

Обновлено: 18.06.2023 Опубликовано: 15.06.2017

Термины по теме: UNIX, Linux, FreeBSD, Ubuntu, CentOS Описанные ниже действия рекомендуется выполнить в первую очередь после установки операционной системы на базе UNIX (например, DEB-base: Astra Linux, Ubuntu, Debian и RPM-base: Rocky Linux, РЕД ОС, CentOS, а также FreeBSD) вне зависимости от того, как планируется ее использовать. Также мы рассмотрим некоторые нюансы при работе с контейнерами.

Стоит учитывать, что контейнерная виртуализация решает разные задачи — идеологически, есть контейнеры для процессов (например, docker и podman), а есть контейнеры с полноценными операционными системами (например, LXD и systemd-nspawn). Нижеописанные действия меньше подходят контейнерам для процессов и больше последним.

1. Обновление и репозитории

На чистой системе рекомендуется сразу установить все обновления, которые доступны для системы из ее родных репозиториев. Наши действия будут различаться в зависимости от используемой операционной системы.

Rocky Linux / CentOS / Red Hat / Fedora

Значит могут быть проблемы при подключении к серверам для определения скорости. В итоге, это только будет увеличивать время ожидания. Данную проверку можно отключить. Открываем файл:

Ubuntu

Debian

deb http://deb.debian.org/debian/ bullseye main
deb-src http://deb.debian.org/debian/ bullseye main

deb http://security.debian.org/debian-security bullseye-security main contrib
deb-src http://security.debian.org/debian-security bullseye-security main contrib

deb http://deb.debian.org/debian/ bullseye-updates main contrib
deb-src http://deb.debian.org/debian/ bullseye-updates main contrib

• Debian 11 — bullseye.
• Debian 10 — buster.
• Debian 9 — stretch.

Astra Linux

Для данной системы по умолчанию нет подключенных онлайн репозиториев — установка возможна только с установочного носителя. Лучше это сразу отредактировать. Для этого откроем файл:

Поставим комментарий для CDROM:

и добавим репозитории. Строки, которые нужно прописать стоит посмотреть на сайте разработчика, например, для Astra Linux SE 1.7:

deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free

Теперь можно выполнить обновление:

Мы можем получить ошибку Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown. Could not handshake: Error in the certificate verification. Она возникает из-за устаревших корневых сертификатов. Сложность в том, что для обновления данных сертификатор нам нужны некоторые пакеты и рабочие репозитории, поэтому для обхода проблемы сы создадим файл:

* где dl.astralinux.ru — адрес репозитория, для которого необходимо отключить проверку сертификата.

После снова попробуем выполнить обновление:

FreeBSD

2. Настройка vi (Astra Linux, Debian или Ubuntu)

Некоторые дистрибутивы Linux используют версию vi, с которой работать не совсем удобно. Как правило, это относится к системам на основе deb.

Многие пользователи используют другие редакторы, например, nano. Но если мы хотим использовать, именно, vi, попробуем сделать работу с ним приятнее.

Tiny vi

Вводим команду, чтобы для текущего сеанса использоватся не стандартный vi, а тюнингованный:

Также добавим это же в файл:

echo ‘alias vi=»vim.tiny»‘ >> ~/.bashrc

Set paste (вставка json и yaml)

При вставке текста с форматом специального назначения, например json и yaml, vi неправильно определяет синтаксис, что приводит к сбиванию формата строк.

Для решения проблемы нужно ввести команду :set paste.

Можно немного упростить процесс — добавляем в конфиг опцию set pastetoggle= .

а) для настройки всем пользователям:

* в данном примере мы настроим быструю клавишу F3, при нажатии которой мы введем опцию set paste.

Теперь переходим в редактор, нажимаем F3, переходим в режим вставки (i) — можно вставлять код.

Позиция курсора после выхода из vim

В Debian / Astra Linux и некоторых программах подключения по SSH (например, Putty) после выхода из редактора vi, позиция курсора оказывается в верхней части экрана и на него накладывается предыдущий текст. Данное поведение мешает работать.

Для решения проблемы открываем на редактирование:

а) для настройки всем пользователям:

Источник

How to make iptables persistent after reboot on Linux

i ptables is a user-space utility software that allows a system administrator to customize the Linux kernel firewall’s IP packet filter rules, which are implemented as various Netfilter modules. The filters are structured into tables with chains of rules governing how network traffic packets are treated. iptables is a powerful utility for configuring port access on your PC or server. It gives the necessary control to specify what network traffic is allowed or denied to the system.

To set up, manage, and analyze the firewall tables of IPv4 and IPv6 packet filter rules in the Linux kernel, system administrators and developers utilize the iptables and ip6tables programs. Unfortunately, any changes performed with these commands are lost when the Linux server is rebooted. As a result, we must persistently preserve those rules across reboots. This article demonstrates how to permanently preserve iptables firewall rules on an Ubuntu Linux system.

Experienced Linux administrators are probably familiar with the annoyance and suffering of a reboot that entirely deletes a system’s iptables rules. This is because, by default, iptables rules do not remain after a reboot. After establishing your system’s iptables rules, you must take one more step to ensure the rules stay in place after a reboot.

Making iptables persistent after reboot on Linux

This guide will illustrate how to make iptables rules durable after rebooting your Ubuntu and Cent OS.

Before we begin, ensure you have specific rules set up on your system. This tutorial assumes that you have already configured the rules with iptables. Type to see a list of rules:

This should show you the current status of all the access and block rules you’ve set up on your system.

How to save iptables rules on Ubuntu?

Install the iptables-persistent package using the apt package manager to make your iptables rules permanent after reboot:

sudo apt-get install iptables-persistent

Any presently mentioned iptables rules would be stored in the IPv4 and IPv6 files indicated below:

/etc/iptables/rules.v4 /etc/iptables/rules.v6

To integrate new rules in your system, just use the iptables command to update persistent iptables. Run the iptables-save command to make modifications permanent after a reboot:

sudo iptables-save > /etc/iptables/rules.v4 sudo ip6tables-save > /etc/iptables/rules.v6

To remove persistent iptables rules, open the relevant /etc/iptables/rules.v* file and delete any undesired rules.

How to save iptables rules on CentOS

Install the iptables-services package using the dnf package manager to make your iptables rules persistent after reboot:

sudo dnf install iptables-services

Any current iptables rules will be stored in the IPv4 and IPv6 files listed below:

/etc/sysconfig/iptables /etc/sysconfig/ip6tables

Make sure that the firewalld service is disabled, and the iptables service is enabled in the system by executing the lines of code provided below:

sudo systemctl stop firewalld sudo systemctl disable firewalld sudo systemctl start iptables sudo systemctl enable iptables

You can then use the following command to ensure that the service is running:

sudo systemctl status iptables

To integrate new rules in your system, just use the iptables command to update persistent iptables. Run the iptables-save command to make modifications permanent after a reboot:

sudo iptables-save > /etc/sysconfig/iptables sudo ip6tables-save > /etc/sysconfig/ip6tables

Note: To remove persistent iptables rules, edit the corresponding /etc/sysconfig/iptables or /etc/sysconfig/ip6tables file and delete any lines that include undesired rules.

Conclusion

This post taught you how to permanently save and restore iptables rules on Linux, specifically on Debian/Ubuntu or CentOS/RHEL/Rocky/Alma Linux systems. Remember to configure the Linux firewall with only one service. Many systems now have their own iptables front end, such as firewalld or ufw, which makes the firewall more user pleasant and saves your rules by default. I hope you are now able to make your iptables persistent. Thanks for reading.

Источник