我在 Linux 上工作,想向 iptable 添加规则。我希望这些规则无论如何都是不可变的(无论是更改还是删除)。我该怎么办?请注意,对我来说,正在运行并保存在内存中的规则很重要,而不是存储在 iptable 规则文件中的规则。
我找到了一种将规则保存在文件中并将其与规则备份文件进行比较并检测更改的方法,但这不是一个好方法,我认为它太慢了,而且有办法绕过这种检查。
答案1
没有办法做到这一点。root无论如何,总是可以改变规则集。
除此之外,锁定单个规则是没有意义的,因为它们的顺序和其他干扰因素对于整个规则集的工作方式非常重要。例如,我可以在某个规则上方添加另一个具有相同(或更广泛)匹配的规则,而不是禁用或更改该规则,该规则可以执行其他操作,从而覆盖旧规则并使其变得无用(就好像它不存在一样)。您应该一次锁定整个规则集,即整个防火墙配置,而不是单个规则。
确保防火墙配置不可变的唯一方法是严格控制谁可以获得root特权,无论如何你都应该这样做。