Discussion:
[OT] Mantener Regla INPUT ACCEPT al principio de la Lista de Reglas.
(demasiado antiguo para responder)
Ramses
2020-03-29 09:50:01 UTC
Permalink
Hola a ***@s.

Me imagino que por aquí habrá algún crack en iptables que me pueda sacar de esta duda:

Imaginemos que yo tengo una regla ACCEPT en INPUT en un Servidor Remoto en la que permito todo a mi equipo para administración.

Si voy añadiendo reglas con la opción "-I n" voy controlando en la línea en la que quiero insertar una nueva regla, pero sí por error, que las prisas no son buenas consejeras, utilizo la opción "-A" para añadir una regla que bloquee algún tráfico, esta regla la añade al principio de la lista y bloquea ese tráfico incluso a mi equipo.

¿Habría alguna forma de mantener alguna regla al principio de la lista o incluso todas las reglas ACCEPT?


Saludos y gracias
Toni Mas
2020-03-29 11:30:01 UTC
Permalink
Si no recuerdo mal, la opción -A añade al final (append). Así, tu problema
podrá venir si, por descuido le das a "-I 1" una regla DROP. En este caso,
no conozco forma de blindarte al error.
Me imagino que por aquí habrá algún crack en iptables que me pueda sacar
Imaginemos que yo tengo una regla ACCEPT en INPUT en un Servidor Remoto en
la que permito todo a mi equipo para administración.
Si voy añadiendo reglas con la opción "-I n" voy controlando en la línea
en la que quiero insertar una nueva regla, pero sí por error, que las
prisas no son buenas consejeras, utilizo la opción "-A" para añadir una
regla que bloquee algún tráfico, esta regla la añade al principio de la
lista y bloquea ese tráfico incluso a mi equipo.
¿Habría alguna forma de mantener alguna regla al principio de la lista o
incluso todas las reglas ACCEPT?
Saludos y gracias
Ramses
2020-03-29 12:10:01 UTC
Permalink
Si no recuerdo mal, la opción -A añade al final (append). Así, tu
problema
podrá venir si, por descuido le das a "-I 1" una regla DROP. En este
caso,
no conozco forma de blindarte al error.
Post by Ramses
Me imagino que por aquí habrá algún crack en iptables que me pueda
sacar
Post by Ramses
Imaginemos que yo tengo una regla ACCEPT en INPUT en un Servidor
Remoto en
Post by Ramses
la que permito todo a mi equipo para administración.
Si voy añadiendo reglas con la opción "-I n" voy controlando en la
línea
Post by Ramses
en la que quiero insertar una nueva regla, pero sí por error, que las
prisas no son buenas consejeras, utilizo la opción "-A" para añadir
una
Post by Ramses
regla que bloquee algún tráfico, esta regla la añade al principio de
la
Post by Ramses
lista y bloquea ese tráfico incluso a mi equipo.
¿Habría alguna forma de mantener alguna regla al principio de la
lista o
Post by Ramses
incluso todas las reglas ACCEPT?
Saludos y gracias
Correcto Toni, gracias por el apunte.

Vamos, lo que estoy buscando es como evitar que al añadir una regla al principio, por error, me afecte a la regla de mi equipo.

Claro, podría montarme un script que vaya extrayendo la reglas ACCEPT y las vaya añadiendo con la opción "-I 1" y meterlo en el Cron, pero pregunto por si hubiera por ahí alguna opción directamente en iptables.


Gracias y saludos
a***@danigil.com
2020-03-29 23:00:02 UTC
Permalink
Ramses,

Puse unas reglas iptables después haber consultado el archlinux wiki (mayormente la página https://wiki.archlinux.org/index.php/Iptables_(Espa%C3%B1ol) ) ... eso lo hago así de aprendizaje, no soy experto... me funcionó igual en Debian con iptables.

¿por qué no incluir las reglas en un iptables.conf y actualizar las tablas mediante el comando iptables-restore?

-- Dani
Post by Ramses
Imaginemos que yo tengo una regla ACCEPT en INPUT en un Servidor Remoto en la que permito todo a mi equipo para administración.
Si voy añadiendo reglas con la opción "-I n" voy controlando en la línea en la que quiero insertar una nueva regla, pero sí por error, que las prisas no son buenas consejeras, utilizo la opción "-A" para añadir una regla que bloquee algún tráfico, esta regla la añade al principio de la lista y bloquea ese tráfico incluso a mi equipo.
¿Habría alguna forma de mantener alguna regla al principio de la lista o incluso todas las reglas ACCEPT?
Saludos y gracias
Ramses
2020-03-30 06:30:01 UTC
Permalink
Post by a***@danigil.com
Ramses,
Puse unas reglas iptables después haber consultado el archlinux wiki
(mayormente la página
https://wiki.archlinux.org/index.php/Iptables_(Espa%C3%B1ol) ) ... eso
lo hago así de aprendizaje, no soy experto... me funcionó igual en
Debian con iptables.
¿por qué no incluir las reglas en un iptables.conf y actualizar las
tablas mediante el comando iptables-restore?
-- Dani
Post by Ramses
Me imagino que por aquí habrá algún crack en iptables que me pueda
Imaginemos que yo tengo una regla ACCEPT en INPUT en un Servidor
Remoto en la que permito todo a mi equipo para administración.
Post by Ramses
Si voy añadiendo reglas con la opción "-I n" voy controlando en la
línea en la que quiero insertar una nueva regla, pero sí por error, que
las prisas no son buenas consejeras, utilizo la opción "-A" para añadir
una regla que bloquee algún tráfico, esta regla la añade al principio
de la lista y bloquea ese tráfico incluso a mi equipo.
Post by Ramses
¿Habría alguna forma de mantener alguna regla al principio de la
lista o incluso todas las reglas ACCEPT?
Post by Ramses
Saludos y gracias
Dani, sí, yo uso el "iptables-save" para volcar a fichero la configuración de iptables y el "iptables-restore" para restaurar el fichero de reglas cuando reinicia el equipo o cuando hago algún cambio en el fichero de reglas, pero hay veces, muchas, que tienes que añadir una regla "en caliente" y, si por algún casual te equivocas, y pierdes el control del equipo remoto, de nada te vale el "iptables-restore", salvo que tengas unas manos en la ubicación remota que, o sepa eliminarte la regla que has añadido por error o te reinicie el equipo o te haga un "iptables -F && iptables-restore < fichero-reglas", por eso ando buscando si existiera la opción de fijar alguna regla al principio de la tabla o similar.


Saludos y gracias

el meter las reg
remgasis remgasis
2020-03-30 07:10:02 UTC
Permalink
Post by a***@danigil.com
Ramses,
Puse unas reglas iptables después haber consultado el archlinux wiki
(mayormente la página
https://wiki.archlinux.org/index.php/Iptables_(Espa%C3%B1ol) ) ... eso
lo hago así de aprendizaje, no soy experto... me funcionó igual en
Debian con iptables.
¿por qué no incluir las reglas en un iptables.conf y actualizar las
tablas mediante el comando iptables-restore?
-- Dani
Me imagino que por aquí habrá algún crack en iptables que me pueda
Imaginemos que yo tengo una regla ACCEPT en INPUT en un Servidor
Remoto en la que permito todo a mi equipo para administración.
Si voy añadiendo reglas con la opción "-I n" voy controlando en la
línea en la que quiero insertar una nueva regla, pero sí por error, que
las prisas no son buenas consejeras, utilizo la opción "-A" para añadir
una regla que bloquee algún tráfico, esta regla la añade al principio
de la lista y bloquea ese tráfico incluso a mi equipo.
¿Habría alguna forma de mantener alguna regla al principio de la
lista o incluso todas las reglas ACCEPT?
Saludos y gracias
Dani, sí, yo uso el "iptables-save" para volcar a fichero la configuración
de iptables y el "iptables-restore" para restaurar el fichero de reglas
cuando reinicia el equipo o cuando hago algún cambio en el fichero de
reglas, pero hay veces, muchas, que tienes que añadir una regla "en
caliente" y, si por algún casual te equivocas, y pierdes el control del
equipo remoto, de nada te vale el "iptables-restore", salvo que tengas unas
manos en la ubicación remota que, o sepa eliminarte la regla que has
añadido por error o te reinicie el equipo o te haga un "iptables -F &&
iptables-restore < fichero-reglas", por eso ando buscando si existiera la
opción de fijar alguna regla al principio de la tabla o similar.
Saludos y gracias
el meter las reg
Tú no duermes Ramsés, cómo se nota que mañana no sales a la calle. Esta
cuarentena ...
Ramses
2020-03-30 07:40:01 UTC
Permalink
Post by Ramses
Post by Ramses
Post by a***@danigil.com
Ramses,
Puse unas reglas iptables después haber consultado el archlinux wiki
(mayormente la página
https://wiki.archlinux.org/index.php/Iptables_(Espa%C3%B1ol) ) ...
eso
Post by Ramses
Post by a***@danigil.com
lo hago así de aprendizaje, no soy experto... me funcionó igual en
Debian con iptables.
¿por qué no incluir las reglas en un iptables.conf y actualizar las
tablas mediante el comando iptables-restore?
-- Dani
Post by Ramses
Me imagino que por aquí habrá algún crack en iptables que me pueda
Imaginemos que yo tengo una regla ACCEPT en INPUT en un Servidor
Remoto en la que permito todo a mi equipo para administración.
Post by Ramses
Si voy añadiendo reglas con la opción "-I n" voy controlando en la
línea en la que quiero insertar una nueva regla, pero sí por error,
que
Post by Ramses
Post by a***@danigil.com
las prisas no son buenas consejeras, utilizo la opción "-A" para
añadir
Post by Ramses
Post by a***@danigil.com
una regla que bloquee algún tráfico, esta regla la añade al
principio
Post by Ramses
Post by a***@danigil.com
de la lista y bloquea ese tráfico incluso a mi equipo.
Post by Ramses
¿Habría alguna forma de mantener alguna regla al principio de la
lista o incluso todas las reglas ACCEPT?
Post by Ramses
Saludos y gracias
Dani, sí, yo uso el "iptables-save" para volcar a fichero la
configuración
Post by Ramses
de iptables y el "iptables-restore" para restaurar el fichero de
reglas
Post by Ramses
cuando reinicia el equipo o cuando hago algún cambio en el fichero de
reglas, pero hay veces, muchas, que tienes que añadir una regla "en
caliente" y, si por algún casual te equivocas, y pierdes el control
del
Post by Ramses
equipo remoto, de nada te vale el "iptables-restore", salvo que
tengas unas
Post by Ramses
manos en la ubicación remota que, o sepa eliminarte la regla que has
añadido por error o te reinicie el equipo o te haga un "iptables -F
&&
Post by Ramses
iptables-restore < fichero-reglas", por eso ando buscando si
existiera la
Post by Ramses
opción de fijar alguna regla al principio de la tabla o similar.
Saludos y gracias
el meter las reg
Tú no duermes Ramsés, cómo se nota que mañana no sales a la calle.
Esta
Post by Ramses
cuarentena ...
Remgasis, buenos días,

Sí duermo, de hecho, me acabo de levantar para comenzar la jornada...

En cuarentena, pero tengo la suerte de poder teletrabajar... ;-)


Saludos

Loading...