重新启动ossec后保持OSSEC iptables规则

Question

我有6个OSSEC安装(5个代理+1个服务器，所有Debian 8)都配置为使用iptable从10分钟到1个月阻止重复的违法者。

我需要不时地重新启动一个或多个服务器。每次删除OSSEC添加的iptables规则时。当重新启动ossec (./ossec控制重启)时，也会发生这种情况。

是否有一个简单的解决方案来保持规则，或者我是否需要修改活动响应脚本来运行iptables--保存每次IP被阻塞/解除阻塞时的响应脚本？

Answer 1

我认为您用后者回答了您自己的问题，即运行iptables-在活动响应脚本中保存。但问题是，无论何时升级OSSEC，这些更改都会被覆盖。

因此，最好的选择是配置iptables保存在cron中以满足您的需要。