Как "по учебнику" загружать правильно iptables в Ubuntu?

Dmitry · Регистрация: 09.09.2009

Студворк — интернет-сервис помощи студентам

С одной стороны, есть скрипт правил iptables (для chillispot). В Mandriva "борьба" с ними выглядит так - сначала сбрасываем iptables в дефаулт:
/etc/init.d/iptables stop
потом запускаем скрипт, загружающий правила.
/usr/share/doc/chillispot-1.0/firewall.iptables
потом сохраняем текущие правиля в файл
/etc/init.d/iptables save
(имя файла, куда сохранять, мы не указываем и правиля сохраняются в "дефаултный" файлЮ который потом подхватывается при старте системы безо всяких дополнительных телодвижений).

А с другой стороны, есть Ubuntuю Нагуглил вот такой мануал на их сайте:
https://help.ubuntu.com/community/IptablesHowTo
но в нем отличие в том, что при сохранении нужно указать имя файла в который сохраняем, а вдобавок еще и прилепитьь куда-то в загрузку (в указанном мануале примеры прилагаются) команду восстановления этих правил.

Вопрос собственно в том - а нет ли какого-то "стандартного" механизма.

ЗЫ. Используется в шлюзе, к которому ни клавы/мыши, ни монитор не пождключаются, десктоп не загружается, а потому надо как-то без иксов...

@odip · 12.09.2009, 23:12

называть любую лишнюю строчку в конфиге - костылем

В данном случае это официальный рекомендованный способ, а не костыль

Добавлено через 1 минуту

Ubuntu 8.04 Comes with ufw - program for managing the iptables firewall

Ubuntu 8.04 и 9.04 могут в этом плане отличаться.
Ubuntu любит новые плюшки добавлять.

Добавлено через 1 минуту
Ну можешь этот ufw изучить (если он еще есть в 9.04), а можешь в интерфейс прописать.
Кстати в Debian 5.0 тоже самое - в /etc/network/ рекомендуют прописывать некоторые вещи.

Dmitry · 12.09.2009, 23:13 **[ТС]**

Не, песня там та же. В принципе, если бы я не ковырядся с "типа шлюзом", которому GUI и триста лет не нужен, то и вопрос не возник бы, ибо ufw - это графическая утилита. А у коробки этой ни клавы, ни мыши, ни монитора - включили и забыли...

Vourhey · 12.09.2009, 23:15

but it allows all traffic by default.

ну оно так почти везде. Но инит-скрипт-то должен быть!

меня перлы убунты добьют скоро...

@odip · 12.09.2009, 23:16

А у коробки этой ни клавы, ни мыши, ни монитора - включили и забыли...

Роутер что-ли ?
Я против Ubuntu ничего сильно не имею, но на роутер ставить ее не стал бы.
Там кстати есть Ubuntu-Server именно для сервера.

меня перлы убунты добьют скоро...

Это все цветочки против перлов Windows

Vourhey · 12.09.2009, 23:17

odip, использование iptables-save и iptables-restore тоже является официально рекомендованным способом. Так что не надо бабушку лохматить. Как видишь, твой iptables savе, которому "и файлы никакие не нужны" не так уж и крут и не для всех актуален, как я уже упоминал.
Добавлено через 26 секунд

Это все цветочки против перлов Windows

не сказал бы.

Вот и мне пришлось сталкиваться с системами, где автоматического рестора нет. И тогда, чтобы понять, как это работает, открываешь для себя реальность с iptables-save, и iptables-restore, которые лежат в основе восстановления и сохранения правил. И тогда для тебя уже iptables save, iptables start не остаются загадочными "волшебными" командами, которым не нужны файлы. И они не остаются панацеей, которую ты считаешь стандартным и "правильным" решением своих проблем. И ты спокойненько сам можешь добавить то, что тебе нужно используя эти две команды.

но если ты эти не занимался, то так и будешь до пенсии считать, что

iptables-save & iptables-restore - это несколько другие утилиты.

Dmitry · 12.09.2009, 23:18 **[ТС]**

root@hotspot-server:/etc/init.d# ls -l
total 400

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
-rwxr-xr-x 1 root root  3187 2008-09-26 04:25 acpid
-rwxr-xr-x 1 root root   762 2009-03-25 21:49 acpi-support
-rwxr-xr-x 1 root root 10150 2009-04-08 03:06 alsa-utils
-rwxr-xr-x 1 root root  1297 2008-09-03 02:37 anacron
-rwxr-xr-x 1 root root  6464 2009-08-18 17:24 apache2
-rwxr-xr-x 1 root root  1663 2009-02-27 03:23 apmd
-rwxr-xr-x 1 root root  2727 2009-04-08 17:53 apparmor
-rwxr-xr-x 1 root root  2630 2009-04-07 02:45 apport
-rwxr-xr-x 1 root root  1018 2009-04-17 10:53 atd
-rwxr-xr-x 1 root root  2590 2009-03-23 12:17 avahi-daemon
-rwxr-xr-x 1 root root  1109 2005-10-27 15:15 binfmt-support
-rwxr-xr-x 1 root root  4524 2009-04-01 11:51 bluetooth
-rwxr-xr-x 1 root root  2231 2009-03-31 12:01 bootlogd
-rwxr-xr-x 1 root root  1299 2009-03-31 12:01 bootlogs.sh
-rwxr-xr-x 1 root root  1206 2009-03-31 12:01 bootmisc.sh
-rwxr-xr-x 1 root root  2031 2009-03-18 05:20 brltty
-rwxr-xr-x 1 root root  3520 2009-03-31 12:01 checkfs.sh
-rwxr-xr-x 1 root root 10518 2009-03-31 12:01 checkroot.sh
-rwxr-xr-x 1 root root  1670 2009-01-12 01:54 console-setup
-rwxr-xr-x 1 root root  2653 2008-11-12 17:47 cron
-rwxr-xr-x 1 root root  2526 2009-04-17 12:16 cups
-rwxr-xr-x 1 root root  4632 2009-01-27 16:37 dbus
-rwxr-xr-x 1 root root  1235 2009-02-20 19:56 dns-clean
-rwxr-xr-x 1 root root  3598 2009-04-03 11:23 gdm
-rwxr-xr-x 1 root root  5649 2009-04-09 11:19 glibc.sh
-rwxr-xr-x 1 root root  2091 2009-04-03 18:18 hal
-rwxr-xr-x 1 root root  1329 2009-03-31 12:01 halt
-rwxr-xr-x 1 root root  1287 2009-03-31 12:01 hostname.sh
-rwxr-xr-x 1 root root   917 2009-04-06 17:32 hotkey-setup
-rwxr-xr-x 1 root root  5183 2009-02-18 21:43 hwclock.sh
-rwxr-xr-x 1 root root  1404 2009-01-12 01:54 keyboard-setup
-rwxr-xr-x 1 root root  1484 2009-03-31 12:01 killprocs
-rwxr-xr-x 1 root root  1816 2009-01-23 20:33 klogd
-rwxr-xr-x 1 root root  2290 2009-03-30 11:37 laptop-mode
-rwxr-xr-x 1 root root   349 2009-03-26 16:43 linux-restricted-modules-common
-rwxr-xr-x 1 root root  1399 2009-03-18 18:02 module-init-tools
-rwxr-xr-x 1 root root   620 2009-03-31 12:01 mountall-bootclean.sh
-rwxr-xr-x 1 root root  1956 2009-03-31 12:01 mountall.sh
-rwxr-xr-x 1 root root  1351 2009-03-31 12:01 mountdevsubfs.sh
-rwxr-xr-x 1 root root  2350 2009-03-31 12:01 mountkernfs.sh
-rwxr-xr-x 1 root root   618 2009-03-31 12:01 mountnfs-bootclean.sh
-rwxr-xr-x 1 root root  2330 2009-03-31 12:01 mountnfs.sh
-rwxr-xr-x 1 root root  1321 2009-03-31 12:01 mountoverflowtmp
-rwxr-xr-x 1 root root  3668 2009-03-31 12:01 mtab.sh
-rwxr-xr-x 1 root root  5755 2009-05-14 12:29 mysql
-rwxr-xr-x 1 root root  2515 2009-05-14 12:29 mysql-ndb
-rwxr-xr-x 1 root root  1905 2009-05-14 12:29 mysql-ndb-mgm
-rwxr-xr-x 1 root root  2417 2009-03-05 17:02 networking
-rwxr-xr-x 1 root root  1822 2009-04-14 15:33 NetworkManager
-rwxr-xr-x 1 root root   882 2009-03-31 12:01 ondemand
-rwxr-xr-x 1 root root  2398 2009-03-09 18:41 pcmciautils
-rwxr-xr-x 1 root root   687 2009-01-09 05:17 policykit
-rwxr-xr-x 1 root root   420 2009-02-20 19:24 pppd-dns
-rwxr-xr-x 1 root root  1247 2009-03-19 00:17 procps
-rwxr-xr-x 1 root root  2186 2009-04-09 03:02 pulseaudio
-rwxr-xr-x 1 root root 10042 2009-03-31 12:01 rc
-rwxr-xr-x 1 root root   788 2009-03-31 12:01 rc.local
-rwxr-xr-x 1 root root   117 2009-03-31 12:01 rcS
-rwxr-xr-x 1 root root  1758 2009-04-20 15:21 readahead
-rwxr-xr-x 1 root root  2180 2009-04-20 15:21 readahead-desktop
-rw-r--r-- 1 root root  1510 2009-03-31 12:01 README
-rwxr-xr-x 1 root root   639 2009-03-31 12:01 reboot
-rwxr-xr-x 1 root root   941 2009-03-31 12:01 rmnologin
-rwxr-xr-x 1 root root  5200 2009-02-27 03:27 rsync
-rwxr-xr-x 1 root root  1713 2009-03-27 09:46 saned
-rwxr-xr-x 1 root root   918 2009-02-11 14:16 screen-cleanup
-rwxr-xr-x 1 root root  2283 2009-03-31 12:01 sendsigs
-rwxr-xr-x 1 root root   590 2009-03-31 12:01 single
-rw-r--r-- 1 root root  4167 2009-03-31 12:01 skeleton
-rwxr-xr-x 1 root root  3710 2009-01-28 23:01 ssh
-rwxr-xr-x 1 root root   525 2009-03-31 12:01 stop-bootlogd
-rwxr-xr-x 1 root root  1096 2009-03-31 12:01 stop-bootlogd-single
-rwxr-xr-x 1 root root  1063 2009-04-20 15:21 stop-readahead
-rwxr-xr-x 1 root root  3582 2009-01-23 20:33 sysklogd
-rwxr-xr-x 1 root root  2704 2009-04-10 06:04 system-tools-backends
-rwxr-xr-x 1 root root  3421 2009-04-09 03:17 udev
-rwxr-xr-x 1 root root  1245 2009-04-09 03:17 udev-finish
-rwxr-xr-x 1 root root  2064 2009-04-03 18:52 ufw
-rwxr-xr-x 1 root root  3627 2009-03-31 12:01 umountfs
-rwxr-xr-x 1 root root  2140 2009-03-31 12:01 umountnfs.sh
-rwxr-xr-x 1 root root  1456 2009-03-31 12:01 umountroot
-rwxr-xr-x 1 root root  1815 2009-03-31 12:01 urandom
-rwxr-xr-x 1 root root  2964 2009-02-08 01:12 usplash
-rwxr-xr-x 1 root root   637 2009-09-11 16:31 webmin
-rwxr-xr-x 1 root root  2327 2009-04-09 04:43 wpa-ifupdown
-rwxr-xr-x 1 root root  1777 2008-12-05 02:44 x11-common

@odip · 12.09.2009, 23:22

является официально рекомендованным способом

Я не с этим спорил.
А с тем - куда именно воткнуть этот iptables-save.

как я уже упоминал

Ты не сказал какой именно Linux крив.
Но теперь я точно знаю что в Ubuntu этот метод точно не работает.

Добавлено через 59 секунд

root@hotspot-server:/etc/init.d# ls -l

Это в смысле будем мерятся у когда этот список длиннее ?

Vourhey · 12.09.2009, 23:25

Ты не сказал какой именно Linux крив.

Я тебе уже сказал, что это коммерческий дистрибутив. Он базируется на RH. Ты о нем не слышал. Вот когда купишь для своей телефонной компании - может, услышишь.
А теперь еще и убунту.

Добавлено через 1 минуту

А с тем - куда именно воткнуть этот iptables-save.

никуда. Вызвать тогда, когда правила хочешь сохранить и все.

@odip · 12.09.2009, 23:26

Я помню что коммерческий.
Видимо они сильно перелопатили RHEL, потому что Centos 4.x, 5.x имеют нормально работающую команду /etc/init.d/iptables save

Vourhey · 12.09.2009, 23:29

Ха. Как видишь, я с самого начала угадал, что там такое дерьмо

интуиция, нах. Юзаем iptables-save, iptables-restore и забываем слово "костыль" и избавляемся от фобий.
Всем удачи, всем пока.

Добавлено через 2 минуты

Видимо они сильно перелопатили RHEL

какая разница, как они его перелопатили. Да, сильно. Я запровайдил способ работающий даже на перелопаченых дистрах, так как, сам его юзал. Его преимущество в том, что он, как видишь, аналогичен действиям скрипта iptables. Поэтому ничем ему не уступает. Как теперь ясно, он актуален и для убунту.

Dmitry · 12.09.2009, 23:30 **[ТС]**

Сообщение от odip

Это в смысле будем мерятся у когда этот список длиннее ?

Не, это в принципе ответ на вопрос - что, действительно нет скрипта про iptables - в ответе на команду указанного скрипта действительно нет. А про длинну списка - это бадыль, наличие в init.d - это еще не наличие ссылки в rcX.d. А в убунту ко всему еще нужно найти файл с аналогичным именем в папке /etc/default и убедиться, что в нем не вот так:

# set to yes to start on boot
ENABLED=no

Новые блоги и статьи Все статьи Все блоги /
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .
Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554

	Как "по учебнику" загружать правильно iptables в Ubuntu? 11.09.2009, 21:39. Показов 22704. Ответов 30 Метки нет (Все метки) С одной стороны, есть скрипт правил iptables (для chillispot). В Mandriva "борьба" с ними выглядит так - сначала сбрасываем iptables в дефаулт: /etc/init.d/iptables stop потом запускаем скрипт, загружающий правила. /usr/share/doc/chillispot-1.0/firewall.iptables потом сохраняем текущие правиля в файл /etc/init.d/iptables save (имя файла, куда сохранять, мы не указываем и правиля сохраняются в "дефаултный" файлЮ который потом подхватывается при старте системы безо всяких дополнительных телодвижений). А с другой стороны, есть Ubuntuю Нагуглил вот такой мануал на их сайте: https://help.ubuntu.com/community/IptablesHowTo но в нем отличие в том, что при сохранении нужно указать имя файла в который сохраняем, а вдобавок еще и прилепитьь куда-то в загрузку (в указанном мануале примеры прилагаются) команду восстановления этих правил. Вопрос собственно в том - а нет ли какого-то "стандартного" механизма. ЗЫ. Используется в шлюзе, к которому ни клавы/мыши, ни монитор не пождключаются, десктоп не загружается, а потому надо как-то без иксов... 0

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554
	12.09.2009, 23:13 [ТС]
	Не, песня там та же. В принципе, если бы я не ковырядся с "типа шлюзом", которому GUI и триста лет не нужен, то и вопрос не возник бы, ибо ufw - это графическая утилита. А у коробки этой ни клавы, ни мыши, ни монитора - включили и забыли... 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	12.09.2009, 23:26
	Я помню что коммерческий. Видимо они сильно перелопатили RHEL, потому что Centos 4.x, 5.x имеют нормально работающую команду /etc/init.d/iptables save 0