如果此接口关闭,我是否应该刷新特定接口的 iptables 规则?
这样做有什么好处吗?
目前我正在使用iptables-restore并且不会删除规则,即使我关闭了界面,规则也会在启动时加载,仅此而已。
你有什么推荐?
答案1
我不会介意。可能存在一些极端情况,这可能会影响 FW 性能(例如,如果您有数千条规则、复杂的 fwmark 等在未使用的接口上运行)。
我已经使用 VLAN、心跳和 iptables 实现了高可用性防火墙。在这种情况下,备用防火墙已加载所有规则,即使它没有任何 IP(尽管我们确实提前创建了 VLAN 设备)。
此外,如果您从一个脚本加载所有 FW 规则,然后仅刷新单个接口的规则,则必须重新加载所有规则才能恢复该接口。这会不必要地中断您已建立的连接。
答案2
我认为没有必要。另外,如果您使用 DROP 策略并刷新错误的内容,则最终可能会被锁定在服务器之外。