iptables-Änderungen via SSH?

11/01/2016 - 19:30 von Sebastian Suchanek | Report spam
Hallo Liste!

Ich habe da eine Wheezy-Kiste, an die ich kurzfristig nur per SSH
'rankomme. Auf der würde ich gerne die Firewall
("arno-iptables-firewall") umkonfigurieren. Ehrlich gesagt weiß ich
nicht, wie die (Um)konfiguration im Detail ablàuft, würde aber vermuten,
dass die iptables-Regeln zunàchst alle komplett gelöscht und dann neu
gesetzt werden.

Was ich nun gerne wissen würde: Was passiert mit der laufenden
SSH-Session wàhrend dieses mutmaßlichen iptables-Regeln-Löschens und
-Neu-Setzens? Bleibt die bestehen oder wird die mit "abgeràumt"? Bei
letzterem hàtte ich nàmlich Bedenken, dass dabei dann auch die
Firewall-Konfigurationsskript abbricht, die iptables-Einstellungen
folglich in einem mehr oder weniger undefinierten Zustand sind und die
Kiste gar nicht mehr erreichbar ist...


TIA,

Sebastian
 

Lesen sie die antworten

#1 Jochen Spieker
11/01/2016 - 19:50 | Warnen spam

Sebastian Suchanek:

Ich habe da eine Wheezy-Kiste, an die ich kurzfristig nur per SSH
'rankomme. Auf der würde ich gerne die Firewall
("arno-iptables-firewall") umkonfigurieren. Ehrlich gesagt weiß ich
nicht, wie die (Um)konfiguration im Detail ablàuft, würde aber vermuten,
dass die iptables-Regeln zunàchst alle komplett gelöscht und dann neu
gesetzt werden.



Wird im Allgemeinen so sein. Hàngt konkret aber davon ab, wie oder womit
Du das machst.

Was ich nun gerne wissen würde: Was passiert mit der laufenden
SSH-Session wàhrend dieses mutmaßlichen iptables-Regeln-Löschens und
-Neu-Setzens? Bleibt die bestehen oder wird die mit "abgeràumt"?



Iptables filtert einzelne Pakete. Das Löschen und Neusetzen der Regeln
zwischen zwei einkommenden Paketen hat keinen Einfluss auf die
Verbindung -- natürlich müssen die neuen Regeln die Pakete auch
durchlassen. Risikoreich ist das also auf jeden Fall.

Wenn Du stateful filterst (related/established), macht das auch nichts.
Der Kernel flusht nicht wegen iptables seine Tabellen der offenen
Verbindungen.

Es kann natürlich immer sein, dass ein Paket Deiner Verbindung zu einem
ungünstigen Zeitpunkt (Policy REJECT ist gesetzt, Regel zum Erlauben von
SSH noch nicht) eintrifft und deswegen verworfen oder abgelehnt wird. In
letzterem Fall schließt der Server Dir die Verbindung und Du musst sie
neu aufbauen.

Ich würd das in jedem Fall mit screen bzw. tmux machen, dann verlierst
Du nach dem Reconnect zumindest nicht Deine Shell. Nüchtern und
ausgeschlafen hilft auch. ;-) (Ich hab mal mit einer halben Flasche Wein
im Kopf mkfs statt fsck getippt. Private Kiste, natürlich.)

J.
I see weapons of mass destruction as shameful but necessary.
[Agree] [Disagree]
<http://archive.slowlydownward.com/N...2.html>



Ähnliche fragen