konkretnie
Mam zestaw reguł iptables zdefiniowany na serwerze z systemem CentOS. Czy mam gwarancję / mogę zagwarantować / w jaki sposób mogę zagwarantować, że kiedy sieć jest w trybie online (podczas uruchamiania komputera lub po ponownym uruchomieniu usługi sieciowej), zestaw reguł iptables jest już zastosowany (a jeśli iptables nie uruchomił się lub nie zastosował zestawu reguł interfejs sieciowy nie pojawi się)?
(Wiem, że jest to pytanie noob, ale nigdy nie uruchomiłem serwera w nic poza zaufanymi sieciami za maskaradującym NAT NAT i zaporą ogniową, więc ... oczekuj pytań od noob.)
Odpowiedzi:
Po wyjęciu z pudełka masz gwarancję, że iptables uruchomi się przed uruchomieniem interfejsu przez kolejność skryptów startowych. Spójrz na wiersz „chkconfig” w każdym skrypcie startowym, a zobaczysz poziomy działania, w których jest „włączony”, gdy jest aktywny, kolejność rozpoczęcia i kolejność zatrzymania.
Nie ma gwarancji, że interfejs nie zostanie wywołany, jeśli zestaw reguł iptables nie zostanie poprawnie zastosowany (lub w ogóle).
Przykład: w
chkconfig: 2345 08 92
tym wierszu podano, że dana usługa będzie aktywna na poziomach 2, 3, 4 i 5 oraz rozpocznie się o 8, a zatrzyma o 92. Wszystko, co ma większą wartość „start”, uruchomi się dopiero po zakończeniu tego skryptu, ale pomyłka w tym skrypcie jest uważana za zakończenie i nie uniemożliwi uruchamiania skryptów niższego rzędu.
Uwaga: ta odpowiedź dotyczy CentOS 6 i wcześniejszych, niekoniecznie CentOS 7. Nie osobiście zbadałem 7 wystarczająco, aby odpowiedzieć na to pytanie dla 7.
źródło
systemctl list-dependencies --all
(właśnie patrzyłem na stronę podręcznika dla tego 30 sekund temu).initscripts
pakiet zostanie kiedykolwiek zaktualizowany (np. Wydanie erraty). Naprawdę nie polecam tego robić.Możesz także użyć opcji ifup-post w centach:
Ten skrypt działa i po powyższym (ifup-route i ifup-aliasses) szuka ifup-local
Możesz więc utworzyć ten plik i upewnić się, że ponownie wywołuje iptables, na przykład za pomocą iptables-restore:
źródło
Mały dodatek: aby zapewnić, że potrzebne reguły będą dostępne przy następnym uruchomieniu serwera, zapisz go
źródło