Iptables নিয়মটি ইতিমধ্যে বিদ্যমান আছে কিনা তা আমি কীভাবে পরীক্ষা করতে পারি?

ইন্টারনেট থেকে টিসিপি পোর্টে সংযোগগুলি ব্লক করতে আইপটবেলে একটি বিধি যুক্ত করতে হবে।

যেহেতু আমার স্ক্রিপ্টটি একাধিকবার কল করা যেতে পারে এবং নিয়ম মোছার জন্য কোনও স্ক্রিপ্ট নেই, তাই আমি iptables নিয়মটি সন্নিবেশ করার আগেই ইতিমধ্যে উপস্থিত আছে কিনা তা যাচাই করতে চাই - অন্যথায় INPUT চেইনে প্রচুর ডুপ বিধি থাকবে।

Iptables নিয়মটি ইতিমধ্যে বিদ্যমান আছে কিনা তা আমি কীভাবে পরীক্ষা করতে পারি?

-C --checkসাম্প্রতিক iptables সংস্করণগুলিতে একটি নতুন বিকল্প রয়েছে।

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
iptables: Bad rule (does a matching rule exist in that chain?).
# echo $?
1

# iptables -A INPUT -p tcp --dport 8080 --jump ACCEPT

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
# echo $?
0

পুরানো iptables সংস্করণগুলির জন্য, আমি গ্যারেটের পরামর্শটি ব্যবহার করব:

# iptables-save | grep -- "-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT"

নতুন -Cবিকল্পটি সন্তোষজনক নয়, কারণ এটি ব্যবহারের সময়-যাচাই-বাছাই (ট্যাকটিউইউ) রেস শর্তের জন্য উন্মুক্ত। যদি দুটি প্রক্রিয়া একই সময়ে প্রায় একই নিয়ম যুক্ত করার চেষ্টা করে তবে -Cএটিকে দু'বার যুক্ত করা থেকে রক্ষা করবে না।

সুতরাং, এটি grepসমাধানের চেয়ে আসলে ভাল কিছু নয় । আউটপুট উপর একটি সঠিক পাঠ্য প্রক্রিয়াকরণ iptables-saveকাজ হিসাবে নির্ভরযোগ্যভাবে কাজ করতে পারে -C, যেহেতু আউটপুট টেবিলগুলির রাজ্যের একটি নির্ভরযোগ্য স্ন্যাপশট।

যা প্রয়োজন তা হ'ল একটি --ensureবিকল্প যা পরমাণুগতভাবে এটির উপস্থিতি না থাকলে কেবল একটি নিয়ম পরীক্ষা করে এবং যুক্ত করে। তদ্ব্যতীত, নিয়মটি সঠিক অবস্থানে স্থানান্তরিত হলে এটি চমৎকার হবে যেখানে ইতিমধ্যে অস্তিত্ব না থাকলে একটি নতুন নিয়ম সন্নিবেশ করা হবে ( --ensure-move)। উদাহরণস্বরূপ যদি iptables -I 1কোনও শৃঙ্খলের মাথায় কোনও নিয়ম তৈরি করতে ব্যবহৃত হয় তবে সেই নিয়মটি ইতিমধ্যে সপ্তম অবস্থানে রয়েছে, তবে বিদ্যমান নিয়মটি প্রথম অবস্থানে চলে যেতে হবে।

এই বৈশিষ্ট্যগুলি ব্যতীত, আমি মনে করি যে এই ছদ্ম কোডের উপর ভিত্তি করে একটি শেল স্ক্রিপ্ট লুপটি লেখার একটি সম্ভাব্য কাজ রয়েছে:

while true ; do
  # delete all copies of the rule first

  while copies_of_rule_exist ; do
    iptables -D $RULE
  done

  # now try to add the rule

  iptables -A $RULE # or -I 

  # At this point there may be duplicates due to races.
  # Bail out of loop if there is exactly one, otherwise
  # start again.
  if exactly_one_copy_of_rule_exists ; then
    break;
  fi
done

এই কোডটি চারদিকে ঘুরতে পারে; এটি গ্যারান্টি দেয় না যে দু'জন বা আরও বেশি রেসারের একটি নির্দিষ্ট সংখ্যার পুনরাবৃত্তি হবে। কিছু এলোমেলো তাত্পর্যপূর্ণ ব্যাক অফ ঘুমগুলি এটিতে সহায়তা করতে যোগ করা যেতে পারে।

এটি কিছুটা পিছনের দিকে মনে হতে পারে তবে এটি আমার পক্ষে কাজ করে - প্রথমে বিধি মোছার চেষ্টা করুন।

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP;

আপনার সাথে একটি বার্তা পাওয়া উচিত:

iptables: খারাপ নিয়ম (সেই শৃঙ্খলে কি কোনও মিলের নিয়ম বিদ্যমান?)

তারপরে আপনার নিয়মটিকে সাধারণ হিসাবে যুক্ত করুন:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP;

শুধু তালিকা এবং এটি অনুসন্ধান?

iptables --list | grep $ip

... বা তবে আপনার বিধি নির্দিষ্ট করা আছে। আপনি যদি grep -qএটি ব্যবহার করেন তবে কিছুই আউটপুট হবে না এবং আপনি কেবলমাত্র এর সাথে রিটার্ন মানটি পরীক্ষা করতে পারবেন$?

Https://serverfault.com/questions/628590/ ডুপ্লিকেট- চিঠিযোগ্য-rules এ বর্ণিত হিসাবে প্রথমে ডুপ্লিকেটগুলি যুক্ত করার পরে অপসারণ সম্পর্কে কীভাবে । সবচেয়ে সহজ (সংলগ্ন রেখার জন্য) বলে মনে হচ্ছে

iptables-save | uniq | iptables-restore

আপনার স্ক্রিপ্ট থেকে নকল নিয়ম এড়াতে, নীচের লাইন যুক্ত করুন।

iptables -C -INPUT -p tcp --dport 8080 --jump ACCEPT || iptables -A -INPUT -p tcp --dport 8080 --jump ACCEPT

প্রথমবার যখন উপরের কমান্ডটি চালিত হয়, আমরা নীচের বার্তাটি পর্যবেক্ষণ করব

iptables: খারাপ নিয়ম (সেই চেইনে কোনও মিলের নিয়ম বিদ্যমান?)

এটি কেবল তথ্যের জন্য। কমান্ডের দ্বিতীয়ার্ধটি বিধি যুক্ত করার বিষয়টি নিশ্চিত করবে।