Novas regras (iptables) sem susto
Colaboração: irado furioso com tudo
Data de Publicação: 02 de Setembro de 2009
Muitas vezes precisamos fazer modificações mais ou menos extensas em nossas regras de firewall - remotamente, claro, pra ficar mais "fácil"; acionamos as novas regras e, dada a vigência da Lei de Murphy.. perdemos contato com o servidor que estavamos acessando.
A dica implica em tomarmos DUAS providencias:
a) criar um arquivo de regras NOVO no diretorio /root do servidor que estamos
acessando. Chamemo-lo rc.firewall.sh.novo
b) acionar este novo, dar um tempo razoável para testes e.. voltar o
rc.firewall antigo.
O como fazer é simples: temos um script muito simples, no /root, com o
seguinte conteúdo:
# temporario.sh #!/bin/bash ./rc.firewal.sh.novo restart sleep 60 /etc/init.d/rc.firewal restart exit 0
Notem o 'restart': todo script de respeito tem as cláusulas básicas: start/stop/restart, e este não é diferente.
O que isso faz deve estar evidente: aciona nosso novo script de firewall, começa uma contagem de tempo e depois chama o script original de firewall; se tivermos sido "chutados" pra fora do servidor, basta aguardarmos um pouco e contata-lo novamente (ssh).
À medida em que formos eliminando quaisquer erros, podemos aumentar o tempo do "sleep"; via de regra eu vou até 30 minutos, se não houver problemas até então provavelmente não haverá mais.
Nota: sugiro FORTEMENTE usar o 'screen', para não se perder a sessão (há dica aqui mesmo no dicas-l) e ativar o script com & (para trabalhar em background:
./temporario.sh &
Nunca mais precisaremos acessar fisicamente o servidor por termos esquecido uma ou outra regra em script (novo) de firewall.
Divirtam-se. :)
irado é administrador de redes, especializado em firewalls e servidores seguros em FreeBSD e Linux (qualquer distribuição).