(/ etc / sysconfig / iptables) "এই ফাইলটির ম্যানুয়াল কাস্টমাইজেশন বাঞ্ছনীয় নয়।" কেন?


20

এই ফাইলটি সরাসরি সম্পাদনা করা হচ্ছে

/etc/sysconfig/iptables 

আমাকে এত মাথাব্যথা বাঁচাতে পারে অনেক সময় এবং ...

এবং এখনও ফাইলের একেবারে শীর্ষে এটি বলেছে ..

Manual customization of this file is not recommended.

এখানে '/ etc / sysconfig / iptables' রয়েছে যা সবেমাত্র একেবারে নতুন সেন্টোস 6.4 ক্লাউড সার্ভার নিয়ে এসেছে।

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

80 পোর্ট খোলার জন্য আমি কেবল লাইনটি ক্লোন করতে পারি ..

    -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

এবং তারপরে "22" কে "80" এ পরিবর্তন করুন এবং তারপরে এই ফাইলটি সংরক্ষণ করুন এবং তারপরে পুরো সিস্টেমটি পুনরায় বুট করুন।

এটি আমার জন্য 80 বন্দর খুলবে।

এটি বেশ সহজ অপারেশন। এবং তবুও ফাইলটি বলে যে ম্যানুয়াল সম্পাদনা করার পরামর্শ দেওয়া হচ্ছে না।

আমার পরামর্শ কেন অনুসরণ করা উচিত?

উত্তর:


18

কারণ system-config-firewall(বা এটির এনক্রেস ভিত্তিক ভাই system-config-firewall-tui) নামক সরঞ্জামটি এই ফাইলটি পরিচালনা করে। আপনি যখনই নতুন iptables নিয়ম তৈরি করতে এই সরঞ্জামটি ব্যবহার করবেন ততবার এটি ওভাররাইট হয়ে যাবে /etc/sysconfig/iptables

সম্পর্কিত ম্যানপেজ: ২৮.১.১6। / etc / sysconfig / iptables- র-কনফিগ

এ কারণেই এটি প্রস্তাবিত নয়, তবে নিষিদ্ধ নয় । CentOS বা অন্য কোনও EL সংস্করণ 6 ব্যবহার করে আপনার বিধিগুলি সংরক্ষণের সর্বোত্তম উপায়টি মেমরিতে আপনার কিছু বিধি যুক্ত করার পরে iptables পরিষেবাটি ব্যবহার করছে:

# service iptables save

সম্পর্কিত প্রশ্ন: iptables কেন কেন্দ্রগুলিতে / etc / sysconfig / iptables থেকে তথ্য আনবে না?

এই ফাইলটি ( /etc/sysconfig/iptables) সরাসরি সম্পাদনা না করার কারণগুলি :

  • কারণ এটি একটি স্বয়ংক্রিয় উত্পন্ন ফাইল। এর লিখিত সামগ্রীগুলি স্ক্রিপ্ট / ডেমন থেকে আসে /etc/init.d/iptables
  • Iptables ডেমন পুনরায় সেট করা বা বন্ধ করার মতো কিছু ক্রিয়া ডেটা হারাতে পারে, কারণ এটি ফাইলটি ওভাররাইট করবে rite : এই বিষয় উপর জবর ভেরিয়েবল IPTABLES_SAVE_ON_STOP=""এবং IPTABLES_SAVE_ON_RESTART=""ভিতরে /etc/sysconfig/iptables-configফাইল। হতে পারে, সেগুলি সুর করা আপনার পরিবর্তনগুলিকে /etc/init.d/iptablesস্থির করে তুলবে ।
  • কারণ ডকুমেন্টেশনটি তাই বলেছে। রেড হাট পরামর্শ দেয় যে তাদের ফায়ারওয়াল অবকাঠামো ব্যবহার করার জন্য এটিই সেরা পদ্ধতি।

এই "আমার ফায়ারওয়ালের নিয়মনীতি ওভাররাইট" mindf *** সম্পূর্ণভাবে সেই স্ক্রিপ্ট অক্ষম এবং ফায়ারওয়াল পরিচালনার দ্বারা উদ্ভাসিত এক মত একটি কাস্টমাইজড পদ্ধতির উপর নির্ভর হয় একটি বিকল্প সমাধান স্বর্ণকেশ


এটি সরাসরি মেশানো এবং ফাইলটি সরাসরি সম্পাদনা করা এবং system-config-firewallসরঞ্জামটি ব্যবহার করে নিয়ম যুক্ত করার বিরুদ্ধে যুক্তির মতো আরও শোনাচ্ছে । কখনও কি সরঞ্জামটি ব্যবহারের পরিবর্তে ফাইলটি সম্পাদনা করা খারাপ কেন আপনি তার প্রসারিত করতে পারেন?
মিশেল

অতিরিক্ত তথ্য যুক্ত করা হয়েছে। @ মিশেল

8

এবং এখনও ফাইলের একেবারে শীর্ষে এটি বলেছে ..

হুমমম, এটা আজব। আমার শীর্ষে এটি বলে:

# Manual customization of this file is strongly encouraged.

নিশ্চয়ই কেউ এটি পরিবর্তন করেছে;) এবং বাস্তবে এটিকে এখান থেকে /etc/sysconfigসরিয়েও ফেলেছে যাতে এটি প্যাকেজ ম্যানেজার বা অন্য কোনও কিছু দ্বারা "অটো কাস্টমাইজড" পাবেন না;);)

আমি মনে করি এ জাতীয় কনফিগার ফাইলগুলির সাথে সাধারণভাবে বিন্দুটি হ'ল যদি আপনি না জানেন যে আপনি কী করছেন, এটি করবেন না। কখনও কখনও এমন হুঁশিয়ারিও উপস্থিত থাকে যে ফাইলটি মাঝে মাঝে সিস্টেমের দ্বারা ওভাররাইট হয়ে যায়। এটি প্যাকেজ ম্যানেজার দ্বারা আপগ্রেডগুলিতে করা যেতে পারে - যদিও কখনও কখনও প্রধানমন্ত্রী নথিতে একটি ফাইল ম্যানুয়ালি পরিবর্তিত হয়ে থাকে এবং ওভাররাইট না করে, বা একটি অনুলিপি সংরক্ষণ করেন না - এবং এটি এই কনফিগারেশনের জন্য দায়ী এমন অন্য কোনও সরঞ্জাম হতে পারে although বিশেষভাবে ( উত্তরদিকের উত্তর দেখুন )

"আপনি কী করছেন তা জানা" এর অংশটি এরকম কোণ সম্পর্কে সচেতন হওয়া। কনফিগার ফাইলের জন্য পৃথক অবস্থান ব্যবহার করার জন্য আমি আইপটিবলগুলির জন্য আরআইআর পরিষেবাটিও কাস্টমাইজ করেছি এবং সর্বাগ্রে গুরুত্বপূর্ণ: আমি কেবল এই কম্পিউটারটি ব্যবহার করি।

অনুমান করে যে সেখানে অন্য অ্যাক্সেস রয়েছে এমন লোকেরা, আমি এই সার্ভারে এটি করব না যার জন্য আমি "আমি এ জাতীয় উপায়ে এটি পছন্দ করি" এর চেয়ে ভাল কারণ না থাকলে আমি এর জন্য দায়বদ্ধ না কারণ এটি সম্ভবত বিভ্রান্তির কারণ হয়ে দাঁড়াবে এবং অন্য কাউকে মাথা ব্যথার কারণ হয়ে দাঁড়াবে কিছু ক্ষেত্রে. তবে আপনি যদি একমাত্র ব্যবহারকারী এবং অন্য কেউ সিস্টেমে নির্ভর করে না তবে আপনি যা চান তা করতে নির্দ্বিধায়। ফায়ারওয়ালটি কনফিগার করার জন্য আমার "পছন্দসই পদ্ধতি" এর মতো দেখাচ্ছে:

#!/bin/bash

if [[ ! -n "$IPTSET_FILE" ]]; then
        IPTSET_FILE=/etc/iptables.current
fi

if [[ ! -e $IPTSET_FILE ]]; then
        echo "$IPTSET_FILE does not exist!"
        exit 1
fi

vim $IPTSET_FILE
iptables-restore < $IPTSET_FILE

/etc/iptables.currentকপি করে বুটে তৈরি করা হয় /etc/iptables(যা iptables পরিষেবাটি প্রথমে লোড করার জন্য কনফিগার করা হয়েছে)। সিস্টেমটি শুরু হওয়া একটি রেফারেন্স পয়েন্ট বজায় রেখে আমি এইভাবে ফ্লাইতে জিনিসগুলি সংশোধন করতে পারি।

যা আমাদের কাছে একটি গুরুত্বপূর্ণ পয়েন্টে নিয়ে আসে, আপনি যদি এই ধরণের সতর্কতা ধারণ করে এমন কনফিগারেশনগুলি দিয়ে প্রায় বোকা বানাতে চান: সর্বদা প্রথমে মূলটির ব্যাকআপ অনুলিপি তৈরি করুন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.