Quelle est la manière canonique de stocker les règles iptables ?

Cette question est très proche d'être un double de 4934 et il est lié à 397 .

J'utilise alcool à brûler combiné à une interface web que j'ai développée pour gérer le fichier de configuration.

J'aime vraiment firehol, il fournit une syntaxe plus simple qu'en utilisant iptables directement.

• Vous pouvez utiliser la commande firehol debug pour savoir exactement quelles commandes iptables sont générées
• Si vous avez une erreur dans votre configuration et que vous démarrez le pare-feu, firehol détecte l'erreur et revient à l'état précédent.
• Firehol dispose d'une commande 'try' que vous pouvez utiliser pour démarrer le pare-feu à distance, si vos modifications tuent votre connexion, firehol reviendra à l'état précédent, si vous n'avez pas tué votre connexion, il vous demandera de confirmer le changement.
• Firehol dispose d'un large ensemble de services prédéfinis, de sorte que vous n'avez pas à vous rappeler exactement quels ports vous devez avoir et quels ports ouvrir pour un protocole obscur.

Nous utilisons un init-script personnalisé, bien sûr. Je peux utiliser des for-loops pour itérer sur une liste de ports, analyser d'autres fichiers de configuration comme le vpn-users, etc. Excellent !

Et iptables-restore est sûrement la manière la plus "canonique" de le sauvegarder.

Ce que je veux ajouter :

Veuillez noter que la version actuelle d'iptables demandera au noyau, à chaque invocation, de lui renvoyer la liste complète des chaînes. Ensuite, il effectuera le seul changement que vous lui demandez de faire. Puis il téléchargera à nouveau la liste.

C'est lent (O(n^2)), pour nous il faut 5 secondes ce qui est trop long ;-)

Si vous utilisez iptables-restore, tout se passe en une seule opération rapide.