我需要使用一些 iptables 规则来允许其他服务的端口并实现一些 NATted 服务。
其中/etc/sysconfig/iptables说不要直接编辑此文件。我知道 CentOS/Xenserver 中包含一些 GUI/TUI 工具,我也可以通过 rc.d 或网络启动脚本调用 init.d 脚本来添加这些规则。
我的问题是:仅仅进行调整是否安全/etc/sysconfig/iptables,或者是否有更好的方法可以使事情保持简单和有序?
答案1
根据我的经验,在相当多的 CentOS 机器上,编辑该文件是安全的。只要你不使用任何其他工具(包括iptables-save)来编辑防火墙。
为了防止其他内容覆盖它,我习惯rcs将其保存在本地源代码控制之下,这还有另一个方便的好处,就是允许时间点回滚,并且允许了解谁编辑了它以及为什么编辑它。