Hallo zusammen,
ich habe eine für mich kritische Frage zu iptables. In den letzten Tagen habe ich mich bemüht, meinen Firewall, der ehemals von Plesk verwaltet wurde, auf händischen Betrieb umzustellen "aptitude remove psa-firewall". Danach war das Firewall Modul aus dem Plesk Panel verschwunden. Bon.
Meine neuen Regeln sind getestet und ich habe unter /etc/network/if-post.down.d ein Script angelegt, welches mir die aktiven Regeln unter einem Pfad meiner Wahl wegschreibt (also „/sbin/iptables-save -c > /etc/firewall/iptables.conf“ – auf den offiziellen, und von Plesk genutzten Standardpfad „/var/lib/iptables/active“ war ich zu diesem Zeitpunkt noch nicht gestoßen).
Ein weiteres Script unter /etc/network/if-pre-up.d liest sie (mutmaßlich) beim Start neu ein. Conditionally speaking. Nach einem Neustart des Containers mittels Parallels Power Panel (PPP) war ich zwar nicht ausgesperrt, stellte aber fest, dass leider nicht meine Regeln geladen wurden, sondern Regeln aus dem PPP, welches immer noch das Firewall Modul aufwies. Der top Support von Host Europe hat mir schnell weiter geholfen und mich auf den Debian Standard-Pfad „/var/lib/iptables/active“ gebracht. Dort fand ich auch die Regeln wieder, die tatsächlich geladen wurden (ich war nur deshalb ssh-bezogen nicht ausgesperrt, weil Plesk per Defaul alle hohen Ports frei gibt). Ich habe mich also eher zufällig nicht ausgesperrt und bin jetzt nervös - deshalb meine Fragen:
Auch wenn ich anfangs nicht den Debian Standard-Pfad genutzt habe, so hätten meine beiden Scripte dennoch ausgeführt werden müssen, beim Restart des Containers. Tatsächlich wurde beim Shutdown auch die aktive Konfiguration weggeschrieben, jedoch die vom Standard Pfad geladen – leuchtet mir ein. Im Runlevel 2 meines Servers wird iptables automatisch gestartet, mit dem Regelwerk aus „/var/lib/iptables/active“. Hätte nicht mein Script aus /etc/network/if-pre-up.d dieses wieder überschreiben müssen (oder läuft if-pre-up.d VOR Runlevel 2, dann wär's erklärbar??). Hoffentlich keine zu peinliche Frage.
Kann ich davon ausgehen, dass ich kein eigenes Script zum Einlesen der Konfiguration unter „/etc/network/if-pre-up.d“ benötige, da im Runlevel 2 die Konfiguration vom Standardort eingelesen wird? Ich muss also nur über „/etc/network/if-post.down.d“ dafür Sorge tragen, dass die aktiven Rulesets am Standardort landen (oder kann ich mir selbst dies sparen – siehe nächste Frage)
Die letzte Frage betrifft das Startscript von iptables. Oben steht folgender Hinweis:
Dies sieht für mich danach aus, als könne ich mir mein Script zum Sichern der Konfiguration unter /etc/network/if-post.down.d ebenfalls sparen, wenn ich lediglich enable_autosave=true setze. Es stand/steht aber auf false (als Default?, als Plesk Relikt??). Gibt es ggf. Gründe dafür, diese Funktion nicht zu nutzen?
Ich bin für alle Antworten dankbar.
Zum Abschluss noch meine Entschuldigung für einen ähnlichen Post in der Plesk Rubrik (von gestern – und unbeantwortet). Mir war beim Erstellen noch nicht bewußt, dass sich im Plesk Forum eher Nutzer tummeln, die Plesk nutzen wollen. Ich hingegen wollte/will mich von allzu enger Plesk Umarmung befreien und denke, dass hier der bessere Ort für meine Frage sein könnte.
Beste Grüße,
Thomas
ich habe eine für mich kritische Frage zu iptables. In den letzten Tagen habe ich mich bemüht, meinen Firewall, der ehemals von Plesk verwaltet wurde, auf händischen Betrieb umzustellen "aptitude remove psa-firewall". Danach war das Firewall Modul aus dem Plesk Panel verschwunden. Bon.
Meine neuen Regeln sind getestet und ich habe unter /etc/network/if-post.down.d ein Script angelegt, welches mir die aktiven Regeln unter einem Pfad meiner Wahl wegschreibt (also „/sbin/iptables-save -c > /etc/firewall/iptables.conf“ – auf den offiziellen, und von Plesk genutzten Standardpfad „/var/lib/iptables/active“ war ich zu diesem Zeitpunkt noch nicht gestoßen).
Ein weiteres Script unter /etc/network/if-pre-up.d liest sie (mutmaßlich) beim Start neu ein. Conditionally speaking. Nach einem Neustart des Containers mittels Parallels Power Panel (PPP) war ich zwar nicht ausgesperrt, stellte aber fest, dass leider nicht meine Regeln geladen wurden, sondern Regeln aus dem PPP, welches immer noch das Firewall Modul aufwies. Der top Support von Host Europe hat mir schnell weiter geholfen und mich auf den Debian Standard-Pfad „/var/lib/iptables/active“ gebracht. Dort fand ich auch die Regeln wieder, die tatsächlich geladen wurden (ich war nur deshalb ssh-bezogen nicht ausgesperrt, weil Plesk per Defaul alle hohen Ports frei gibt). Ich habe mich also eher zufällig nicht ausgesperrt und bin jetzt nervös - deshalb meine Fragen:
Auch wenn ich anfangs nicht den Debian Standard-Pfad genutzt habe, so hätten meine beiden Scripte dennoch ausgeführt werden müssen, beim Restart des Containers. Tatsächlich wurde beim Shutdown auch die aktive Konfiguration weggeschrieben, jedoch die vom Standard Pfad geladen – leuchtet mir ein. Im Runlevel 2 meines Servers wird iptables automatisch gestartet, mit dem Regelwerk aus „/var/lib/iptables/active“. Hätte nicht mein Script aus /etc/network/if-pre-up.d dieses wieder überschreiben müssen (oder läuft if-pre-up.d VOR Runlevel 2, dann wär's erklärbar??). Hoffentlich keine zu peinliche Frage.
Kann ich davon ausgehen, dass ich kein eigenes Script zum Einlesen der Konfiguration unter „/etc/network/if-pre-up.d“ benötige, da im Runlevel 2 die Konfiguration vom Standardort eingelesen wird? Ich muss also nur über „/etc/network/if-post.down.d“ dafür Sorge tragen, dass die aktiven Rulesets am Standardort landen (oder kann ich mir selbst dies sparen – siehe nächste Frage)
Die letzte Frage betrifft das Startscript von iptables. Oben steht folgender Hinweis:
Code:
# Autosave only works with start followed by stop.
#
# Also, create the /var/lib/iptables and /var/lib/ip6tables dirs as necessary.
#
# enable ipv6 support
enable_ipv6=false
# set enable_autosave to "true" to autosave the active ruleset
# when going from start to stop
enable_autosave=false
# set enable_save_counters to "true" to save table counters with
# rulesets
enable_save_counters=trueDies sieht für mich danach aus, als könne ich mir mein Script zum Sichern der Konfiguration unter /etc/network/if-post.down.d ebenfalls sparen, wenn ich lediglich enable_autosave=true setze. Es stand/steht aber auf false (als Default?, als Plesk Relikt??). Gibt es ggf. Gründe dafür, diese Funktion nicht zu nutzen?
Ich bin für alle Antworten dankbar.
Zum Abschluss noch meine Entschuldigung für einen ähnlichen Post in der Plesk Rubrik (von gestern – und unbeantwortet). Mir war beim Erstellen noch nicht bewußt, dass sich im Plesk Forum eher Nutzer tummeln, die Plesk nutzen wollen. Ich hingegen wollte/will mich von allzu enger Plesk Umarmung befreien und denke, dass hier der bessere Ort für meine Frage sein könnte.
Beste Grüße,
Thomas