Retour sur ce sujet !
iptables-save
retour à l’invite
Ça vient de me le refaire ce matin et poutant, je n’ai pas, ni updaté, ni upgradé depuis 3 jours.
C’est vraiment un mystère, cette disparition ???
J’ai restauré avec
iptables-restore < /etc/iptables-save
et c’est redevenu “normal”,
iptables-save
me donne toutes mes règles.
Le script (dans /etc/init.d/mon_parefeu) est le suivant :
[code]#!/bin/sh
chargement/déchargement d’iptables
case “$1” in
’start’)
/sbin/iptables-restore < /etc/config_parefeu
RETVAL=$?
;;
‘stop’)
/sbin/iptables-save > /etc/config_parefeu
RETVAL=$?
;;
‘clean’)
clean le parefeu pendant que la machine tourne
ça peut être une faille de sécurite si on l’exécute lors de l’extinction avant l’arrêt des interfaces
pensez à refaire un start après sinon la sauvegarde se fera automatiquement à l’extinction
/sbin/iptables -t filter -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -t raw -F
/sbin/iptables -t filter -P INPUT ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t raw -P OUTPUT ACCEPT
/sbin/iptables -t raw -P PREROUTING ACCEPT
RETVAL=$?
;;
‘restart’)
$0 stop && $0 start
RETVAL=$?
;;
*)
echo "Usage: $0 { start | stop | restart | clean}"
RETVAL=1
;;
esac
exit $RETVAL
[/code]
et mes règles (dans /etc/config_parefeu) :
[code]# Generated by iptables-save v1.4.4 on Sat Aug 8 12:18:33 2009
*filter
:INPUT DROP [23:1604]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2056:449693]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -s 212.27.38.253/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 31336 -j ACCEPT
-A INPUT -j LOG
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
COMMIT
Completed on Sat Aug 8 12:18:33 2009
Generated by iptables-save v1.4.4 on Sat Aug 8 12:18:33 2009
*nat
:PREROUTING ACCEPT [6:2231]
:POSTROUTING ACCEPT [18:1093]
:OUTPUT ACCEPT [278:19081]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
Completed on Sat Aug 8 12:18:33 2009
Generated by iptables-save v1.4.4 on Sat Aug 8 12:18:33 2009
*mangle
:PREROUTING ACCEPT [1725:1015521]
:INPUT ACCEPT [1693:1008879]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2056:449693]
:POSTROUTING ACCEPT [2065:452224]
COMMIT
Completed on Sat Aug 8 12:18:33 2009
Generated by iptables-save v1.4.4 on Sat Aug 8 12:18:33 2009
*raw
:PREROUTING ACCEPT [1725:1015521]
:OUTPUT ACCEPT [2056:449693]
COMMIT
Completed on Sat Aug 8 12:18:33 2009
[/code]
On a l’impression que init.d n’est pas lu au boute ???
J’y pense à l’instant, hier, j’ai eu une vérification de la partition ‘/’ au boute, comme toutes les 50 connexions.
N’y aurait-il pas un rapport :?: