Bagaimana saya bisa memeriksa apakah aturan iptables sudah ada?

Saya perlu menambahkan aturan ke iptables untuk memblokir koneksi ke port tcp dari Internet.

Karena skrip saya dapat dipanggil beberapa kali dan tidak ada skrip untuk menghapus aturan, saya ingin memeriksa apakah aturan iptables sudah ada sebelum memasukkannya - jika tidak, akan ada banyak aturan dup di rantai INPUT.

Bagaimana saya bisa memeriksa apakah aturan iptables sudah ada?

Ada -C --checkopsi baru di versi iptables terbaru.

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
iptables: Bad rule (does a matching rule exist in that chain?).
# echo $?
1

# iptables -A INPUT -p tcp --dport 8080 --jump ACCEPT

# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
# echo $?
0

Untuk versi iptables yang lebih lama, saya akan menggunakan saran Garrett:

# iptables-save | grep -- "-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT"

-COpsi baru ini tidak memuaskan, karena terbuka untuk kondisi balapan time-of-check-to-time-of-use (TOCTTOU). Jika dua proses mencoba menambahkan aturan yang sama pada waktu yang bersamaan, -Ctidak akan melindungi mereka dari menambahkannya dua kali.

Jadi, ini benar - benar tidak lebih baik daripada grep solusinya. Pekerjaan pemrosesan teks yang akurat pada output dari iptables-savedapat bekerja dengan andal -C, karena output tersebut adalah snapshot yang dapat diandalkan dari keadaan tabel.

Yang dibutuhkan adalah --ensure opsi yang secara atomik memeriksa dan menambahkan aturan hanya jika belum ada. Selain itu, alangkah baiknya jika aturan dipindahkan ke posisi yang benar di mana aturan baru akan dimasukkan jika belum ada ( --ensure-move). Misalnya jika iptables -I 1digunakan untuk membuat aturan di kepala rantai, tetapi aturan itu sudah ada di posisi ketujuh, maka aturan yang ada harus pindah ke posisi pertama.

Tanpa fitur-fitur ini, saya pikir solusi yang layak adalah dengan menulis loop skrip shell berdasarkan kode semu ini:

while true ; do
  # delete all copies of the rule first

  while copies_of_rule_exist ; do
    iptables -D $RULE
  done

  # now try to add the rule

  iptables -A $RULE # or -I 

  # At this point there may be duplicates due to races.
  # Bail out of loop if there is exactly one, otherwise
  # start again.
  if exactly_one_copy_of_rule_exists ; then
    break;
  fi
done

Kode ini dapat berputar; itu tidak menjamin bahwa dua atau lebih pembalap akan keluar dalam jumlah iterasi yang tetap. Beberapa tidur backoff eksponensial acak dapat ditambahkan untuk membantu dengan itu.

Ini mungkin tampak agak terbelakang, tetapi berfungsi untuk saya - Coba hapus dulu aturannya.

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP;

Anda harus mendapatkan pesan yang serupa dengan:

iptables: Aturan buruk (apakah ada aturan yang cocok dalam rantai itu?)

Kemudian cukup tambahkan aturan Anda seperti biasa:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP;

Cukup daftar dan cari?

iptables --list | grep $ip

... atau bagaimanapun Anda memiliki aturan yang ditentukan. Jika Anda menggunakannya grep -qtidak akan menghasilkan apa-apa, dan Anda hanya dapat memeriksa nilai kembali dengan$?

Bagaimana kalau pertama menambahkan dan kemudian menghapus duplikat seperti yang dijelaskan dalam https://serverfault.com/questions/628590/duplicate-iptable-rules . Paling mudah (untuk garis yang berdekatan) tampaknya

iptables-save | uniq | iptables-restore

Untuk menghindari aturan duplikat dari skrip Anda, tambahkan baris di bawah ini.

iptables -C -INPUT -p tcp --dport 8080 --jump ACCEPT || iptables -A -INPUT -p tcp --dport 8080 --jump ACCEPT

Pertama kali ketika perintah di atas dijalankan, kita akan mengamati pesan di bawah ini

iptables: Aturan buruk (apakah ada aturan yang cocok dalam rantai itu?).

Ini hanya untuk informasi. Tetapi bagian kedua dari perintah akan memastikan untuk menambahkan aturan.