ConfigServer CSF和iptables配置

Question

我知道有一个/etc/sysconfig/iptables文件，其中包含iptables的规则(与/etc/sysconfig/iptables-config的有效区别是什么？)

我安装了CSF和LFD。您可以在/etc/csf/csf.conf中配置端口，但是/etc/sysconfig/iptables文件不存在。iptables和csf守护进程正在运行。

这是什么意思？防火墙什么都没做？

事实上，CSF和iptable是如何一起工作的？

Answer 1

如果内存正常，则/etc/sysconfig/iptables-config是一个文件，该文件描述了在打开脚本时使用了哪些选项。它没有明确的规则。另一方面，/etc/sysconfig/iptables文件中确实有这些规则。它是按照iptables-save命令的输出进行格式化的；实际上，当您运行service iptables save时，它就是这样创建文件的。

你另一个问题的简短版本是“最后一个开始有优先权”。

为了清晰起见，我将在这个答案的上下文中做一个语言抽象，它不被“行业接受”，如下所示：

• /etc/init.d/iptable、/etc/sysconfig/iptable*和朋友将被称为“”，因为它们是由redhat创建的iptables支持脚本。
• /sbin/ iptables *，内核内防火墙模块和朋友将被称为" netfilter“，因为它们是由netfilter团队提供的，以支持内核iptables。

和CSF脚本都利用netfilter框架和命令将防火墙规则放置在内核空间。它们都(*)在启动时将内核规则表重置为空。因此，如果CSF启动或重新启动后，它的规则和配置将优先。相反，在CSF后开始或重新启动的情况是相反的；CSF规则将被清除，而流变-iptables规则将被取代。

尽管这看起来很愚蠢，但这可能还可以，只要您只处理要运行的规则集，并且您已经验证了您想要运行的规则集(可能是CSF，因为您花了时间安装它)是最后运行的，如果您意外地重新启动了iptables服务，那么您一定要重新启动它。您可以通过查看ls -1 /etc/rc.d/rc3.d来检查它们的启动顺序，前提是您的默认运行级别为3，而在没有图形化的情况下，这通常是这样的(图形为5)。如果S之后的数字更高，那就晚些时候开始。

你为什么要两个都跑？如果您的/etc/sysconfig/iptables规则是功能性的，那么它几乎可以保证在任何网络服务之前出现，这意味着防火墙保护在网络启动和任何服务公开之前就开始了。该文件中列出的规则对系统更改具有很强的弹性，CSF可能对系统更改反应很差，例如，脚本解释器或内核版本只更新一点点，破坏脚本语法或模块名称，或者更有可能的是，您尝试从其主页更新CSF，但它会崩溃。如果CSF在排除规则之前失败，那么您的流变-iptables规则仍然有效，保护您潜在的易受攻击的服务，将其作为后备规则。

如果您希望禁用流变-iptables脚本，可以通过运行以下命令来做到这一点：

chkconfig iptables off

(*)刷新内核规则表对于这两个脚本来说都是默认的；我相信这两个脚本都可以配置为不这样做并且只追加。