Novas regras (iptables) sem susto

Colaboração: irado furioso com tudo

Data de Publicação: 02 de Setembro de 2009

Muitas vezes precisamos fazer modificações mais ou menos extensas em nossas regras de firewall - remotamente, claro, pra ficar mais "fácil"; acionamos as novas regras e, dada a vigência da Lei de Murphy.. perdemos contato com o servidor que estavamos acessando.

A dica implica em tomarmos DUAS providencias:

a) criar um arquivo de regras NOVO no diretorio /root do servidor que estamos acessando. Chamemo-lo rc.firewall.sh.novo

b) acionar este novo, dar um tempo razoável para testes e.. voltar o rc.firewall antigo.

O como fazer é simples: temos um script muito simples, no /root, com o seguinte conteúdo:

  # temporario.sh
  #!/bin/bash
  ./rc.firewal.sh.novo restart
  sleep 60
  /etc/init.d/rc.firewal restart
  exit 0

Notem o 'restart': todo script de respeito tem as cláusulas básicas: start/stop/restart, e este não é diferente.

O que isso faz deve estar evidente: aciona nosso novo script de firewall, começa uma contagem de tempo e depois chama o script original de firewall; se tivermos sido "chutados" pra fora do servidor, basta aguardarmos um pouco e contata-lo novamente (ssh).

À medida em que formos eliminando quaisquer erros, podemos aumentar o tempo do "sleep"; via de regra eu vou até 30 minutos, se não houver problemas até então provavelmente não haverá mais.

Nota: sugiro FORTEMENTE usar o 'screen', para não se perder a sessão (há dica aqui mesmo no dicas-l) e ativar o script com & (para trabalhar em background:

  ./temporario.sh &

Nunca mais precisaremos acessar fisicamente o servidor por termos esquecido uma ou outra regra em script (novo) de firewall.

Divirtam-se. :)

irado é administrador de redes, especializado em firewalls e servidores seguros em FreeBSD e Linux (qualquer distribuição).