在环回接口初始化之前加载所有防火墙规则是否有任何缺点或危险?

在环回接口初始化之前加载所有防火墙规则是否有任何缺点或危险?

我有相当复杂iptables/ip6tables影响多个接口的规则。我想确保防火墙规则始终到位。由于甚至可以为(当时)不存在的接口(例如iptables -A INPUT -i eth999 -j ACCEPT)创建规则,因此我认为我不会将规则与物理接口关联,而是与lo始终存在的接口关联:

# head /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback
        pre-up /sbin/iptables-restore < /etc/network/IPv4_fw_rules
        pre-up /sbin/ip6tables-restore < /etc/network/IPv6_fw_rules
#

这有什么缺点吗?

答案1

不能保证 lo 首先被初始化(现在可能碰巧这样配置,但这并不意味着它就这样,并且在未来的某个时候确实可能会改变)。

但为什么要把它与网络接口联系起来呢?只需添加在网络初始化之前加载的自定义初始化脚本或 systemd 服务,并运行这两个命令来初始化防火墙。你完成了。无论如何,这就是我配置防火墙的方式......

相关内容