Как найти конфиг, который использует iptables?

Question

[mr_blond97]

Как найти конфиг, который использует iptables?

На сайте настроен iptables. Разрешает коннект к порту 3306 только для одного IP. IP сменился, нужно открыть конфиг фаервола и сменить IP.
Гуглю где находится его конфиг, гугль говорит, смотреть в /etc/sysconfig/iptables.old и в /etc/sysconfig/iptables-config.
Ага, думаю я, то что мне нужно, открываю эти конфиги, в них нет записи с нужным IP. Видимо iptables использует кастомный конфиг. Как узнать где он находится?

Answer 1

[littleguga]

Выведите список через iptables -L
и удалите старое, добавьте новое

Если я не ошибаюсь, конфиг можно сохранить куда угодно.

или сделайте, как здесь:

In CentOS you have the file /etc/sysconfig/iptables
если его там нет, вы можете его создать, используя iptables-save, чтобы записать текущие правила в файл

iptables-save > /etc/sysconfig/iptables
чтобы загрузить файл, Вам не нужно перезагружать сервер, просто используйте iptables-restore

iptables-restore < /etc/sysconfig/iptables

via

Comments

[mr_blond97]

# iptables -A INPUT -i ens192 -p tcp -s x.x.x.x --dport 3306 -j ACCEPT

так добавить разрешение для подключения определенного IP? какую нибудь еще команду нужно вводить или что нибудь перезагружать?

[littleguga]

mr_blond97: на счет этого, к сожалению помочь не могу. По умолчанию - все подключения разрешены. Надо смотреть, какое правило у Вас запрещало подключаться со всех ip, кроме старого и его менять.
ps
Если ответ помог, отметьте решением, пожалуйста.

Answer 2

[Azazel PW]

iptables -S выведет список правил
=========
/etc/sysconfig/iptables-config
Не тот файл вы открываете.
mcedit /etc/sysconfig/iptables
меняете правило и
/etc/init.d/iptables restart

Answer 3

[Disen]

Итак, шаг номер раз:
iptables -L -n --line-numbers
эта команда выведет список всех имеющихся у Вас правил с номерами.

шаг номер 2:
iptables -D INPUT num, где num - номер запрещающего правила.
этой командой мы удаляем запрещающее правило

наг номер 3:
iptables -I INPUT 1 -p tcp -s x.x.x.x --dport 3306 -j ACCEPT
этой командой мы добавляем новое разрешающее правило в цепочку INPUT и ставим его первым. На случай, если у Вас в конце цепочки написано что-то типа -A INPUT -j REJECT --reject-with icmp-host-prohibited

если что-то не получается - пришлите вывод iptables -L -n --line-numbers, бум думать.

Answer 4

[Transmetter]

Чтобы найти, где расположен конфиг обычно делаю так:
1) Вывожу текущий список правил в консоль
# iptables-save

2) Беру оттуда какой-то специфичный параметр и делаю поиск по нему грепом:

# grep -R "dport 80" /etc 2> /dev/null
/etc/iptables/rules.v4:-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Оно найдёт файл с этим элементом.

Как видно, в моём случае конфиг расположен тут: /etc/iptables/rules.v4