Как раз и навсегда сохранить настройки iptables?

Question

[Александр Карпов]

Centos 7
Перепробовал разные способы которые предлагают в интернете, однако после перезапуска системы, настройки iptables сбрасываются.
Какой способ используете вы? Centos свежая.

Comments

[Roman Sokolov]

в centos 7 firewallcmd вроде используется вместо iptables. В centos 6: /etc/init.d/iptables save
Еще можно напрямую записать в /etc/sysconfig/iptables

[Александр Карпов]

Роман Соколов: ну вот я записал напрямую, рестартанул сервак и не работает. точно правила должны подсасываться из /etc/sysconfig/iptables??

[Roman Sokolov]

Александр Карпов: смотрите iptables -S Возможно правила неправильно прописаны, поэтому не срабатывают.

[Александр Карпов]

мне кажется, что люди чего-то недопонимают, когда говорят, что можно через /etc/sysconfig/iptables сохранить настройки при перезапуске. В итоге я использовал firewallcmd чтобы победить проблему. Жаль только потраченное время на нерабочие советы. Спасибо тебе!

[Руслан Федосеев]

ну так если вы используете firewall - то им и сохраняйте. Лично я его сношу и использую обычный iptables-service

[Roman Sokolov]

Александр Карпов: Хорошо, пожалуйста.

Answer 1

[lucky_devil]

В CentOS есть сервис /etc/systemd/system/iptables.service в котором написано следующее:

[Service]
	Type=oneshot
	ExecStart=/sbin/iptables-restore /etc/iptables/iptables.rules
	ExecReload=/sbin/iptables-restore /etc/iptables/iptables.rules
	ExecStop=/etc/iptables/flush-iptables.sh

Поэтому, при перезапуске ваши правила iptables восстанавливаются из /etc/iptables/iptables.rules , а не из /etc/sysconfig/iptables

Вам нужно скопировать содержимое файла /etc/sysconfig/iptables в /etc/iptables/iptables.rules , тогда при перезапуске ничего слетать не будет.

Comments

[Александр Карпов]

Хоть уже и не актуально, всё равно спасибо. Тоже хороший ответ.

Answer 2

[Александр Карпов]

На Centos 7 предустановлен firewall-cmd. Если вы его не удалили, то использовать следует его.
Добавление 80 порта:

firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --reload

Потом вы можете проверить. Добавлен ли порт в правила:
iptables-save | grep 80
Удалить правило можно следующим образом

firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --reload

Проверяем:
iptables-save | grep 80
Должно быть пусто.

Меня направил к этому варианту Роман Соколов
Спасибо ему за это.

Answer 3

[Руслан Федосеев]

service iptables save

service iptables restore

ну читайте документацию...

Comments

[Александр Карпов]

проверьте на centos 7. Внесите пару правил через iptables. Рестартаните сервер. Документацию... Работало бы я бы не спрашивал бы.

[Руслан Федосеев]

Не поверите. Вношу, рестартую. Работает.
firewall-cmd сносится одним из первых ;)

[Александр Карпов]

Руслан Федосеев: в вашем ответе о firewall-cmd нечего не сказано ведь, а у меня сказано "Centos свежая."
Просто интернет пестрит таким ответом как у вас, мало где учтен момент наличия firewall-cmd.
Мне нравится, что вы отозвались и ответили. Как решение принять не могу;)

Answer 4

[Ярослав]

yum install iptables-services
iptables -F
iptables-save | sudo tee /etc/sysconfig/iptables

Все правила, ну например:
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
...

iptables -L -n
iptables-save | sudo tee /etc/sysconfig/iptables
service iptables restart

Comments

[Александр Карпов]

т.е. iptables-save | sudo tee /etc/sysconfig/iptables сохранит в etc/sysconfig/iptables текущие настройки, верно? почему нельзя сделать так? iptables-save > /etc/sysconfig/iptables