iptables매우 복잡 하고 ip6tables여러 인터페이스에 영향을 미치는 규칙이 있습니다 . 방화벽 규칙이 항상 유지되도록 하고 싶습니다. (예를 들어) (당시) 존재하지 않는 인터페이스에 대해서도 규칙을 생성하는 것이 가능하기 때문에 iptables -A INPUT -i eth999 -j ACCEPT규칙을 물리적 인터페이스가 아닌 lo항상 존재하는 인터페이스와 연결하려고 생각했습니다.
# head /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
pre-up /sbin/iptables-restore < /etc/network/IPv4_fw_rules
pre-up /sbin/ip6tables-restore < /etc/network/IPv6_fw_rules
#
이에 대한 단점이 있습니까?
답변1
lo가 먼저 초기화된다는 보장은 없습니다(지금은 그렇게 구성될 수도 있지만 그렇다고 해서 그런 것은 아닙니다).가지다그게 전부이며, 미래의 어느 시점에는 실제로 변경될 수 있습니다.)
그런데 왜 네트워크 인터페이스에 연결합니까? 네트워크 초기화 전에 로드되는 사용자 정의 초기화 스크립트 또는 systemd 서비스를 추가하고 이 두 명령을 실행하여 방화벽을 초기화하기만 하면 됩니다. 이제 끝났습니다. 어쨌든 이것이 방화벽을 구성하는 방법입니다 ...