[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[Kowalski86]

Люди подскажите, что-то я не могу понять каким образом можно остановить или запустить iptables в Убунте?
На работе RHEL через init или service все делает, у меня на рабочей машине стоит Kubuntu 11.10, не помог даже chkconfig, ибо такой службы как iptables он не знает
В чем тут подвох?

П.С. может пригодиться:
dpkg -l | grep iptables
ii  iptables    1.4.10-1ubuntu1

which iptables
/sbin/iptables

/sbin/iptables stop и подобные манипуляции не помогают...

[AnrDaemon]

Никаким нельзя. iptables - это утилита для настройки брандмауэра.
Твой вопрос - всё равно что "каким способом можно запустить и остановить sudo".

[fli]

У меня нюбский вопрос. Где храниться конфиг iptables?
Про iptables-save знаю. Просто интересно.

[AnrDaemon]

Смотрите мой предыдущий ответ. Очевидный вывод - нигде не хранится.
Утилита iptables-save как раз и нужна, чтобы ВЫ могли сохранить конфигурацию, где ВАМ удобно.
И загрузить, когда и как вам удобно. Например, так.

[Userboy]

Урааа!!! свершилось... столько проблем , а все из-за того, что никто не подсказал что для Убунты даная комманда была неверной!
Пишу воспомогательную записку для желающих:

apt-get install linux-source-2.6.x libncurses5-dev kernel-package

Запускаю. sudo
apt-get install linux-source-2.6.x libncurses5-dev kernel-package

 Терминал выдаёт.

E: Не удалось получить доступ к файлу блокировки /var/lib/dpkg/lock - open (11: Ресурс временно недоступен)
E: Не удалось выполнить блокировку управляющего каталога (/var/lib/dpkg/); он уже используется другим процессом?

[AnrDaemon]

sudo же ж...

[coolman]

а у меня просто скрипт лежит /etc/init.d от туда он сам и запускается при старте системы, от туда я его и правлю, для удобства через webmin, а то у меня правил там на целую страницу. Кстати именно в последней версии iptables 1.4.12.2 исправлены очень важные аспекты для правильного функционирования и собственно важные для защиты от дос и ддос атак.

[AnrDaemon]

а у меня просто скрипт лежит /etc/init.d

Ужс... Тихий ужс.
Хотя бы https://forum.ubuntu.ru/index.php?topic=99586.0 прочитайте для начала.

[coolman]

а у меня просто скрипт лежит /etc/init.d

Ужс... Тихий ужс.
Хотя бы https://forum.ubuntu.ru/index.php?topic=99586.0 прочитайте для начала.

Прочитал и всетаки не понял в чем ужас у меня и почему нельзя пихать правила в автозагрузку?
Загружается система, применяются правила файрвола, если надо чето изменить в правилах, меняю один единственный этот файл из автозагрузки и запускаю же его, легко, просто и все работает.
Причем файл правил у меня локально на винде в текстовом файле лежит, очень удобно, сохраняю, копирую содержимое, вставляю через webmin на сервере в скрипт и запускаю его, охренено удобно, когда у тебя херова туча правил(через консоль даже не представляю как их редактировать, копировать и вставлять, это же еще в терминал надо лезть), куда проще скопировать строку в блокноте вставить в новую, поменять Ip при бане например и сохранить)

[AnrDaemon]

Потому что загрузка сервера происходит раз в год, а интерфейсы поднимаются и опускаются по необходимости.
В вашей конфигурации при перенастройке интерфейсов вам ещё надо незабыть обновить правила, в моей - всё происходит само.
Не представляете, как редактировать - нас спросите. Консольные текстовые редакторы никто не отменял.

[coolman]

Потому что загрузка сервера происходит раз в год, а интерфейсы поднимаются и опускаются по необходимости.
В вашей конфигурации при перенастройке интерфейсов вам ещё надо не забыть обновить правила, в моей - всё происходит само.
Не представляете, как редактировать - нас спросите. Консольные текстовые редакторы никто не отменял.

Ну значит нет ничего страшного , у меня нет такой необходимости поднимать и опускать интерфейсы чаще перезагрузки системы
кстати у меня ubuntu 12.04,поставил еще  прошлом году и я чаще обычного перезагружаю сервер, при обновлении ядра например.
А ставил ubuntu 12.04, в надежде, что при обновление будут обновляться и уязвимые пакеты ан нет, ядро до сих пор то используют, в котором не зарыли найденную уязвимость, sudo  пакет с уязвимостью не обновили,apache2 уязвимость вплоть до версии apache2.2.22, а пакета нового нету, так вот и сижу как на пороховой бочке. Iptables до сих пор 1.4.12, когда уже давно 1.4.12.2 в котором исправлено очень много важных для меня ошибок, ну к например в hashlimit, который я чуть ли не в каждом правиле эксплуатирую, в защите от ддос(кои уже парочку пришлось отбивать).  Iptables из исходников в этом релизе не собирается, пришлось с дебиан серверов брать и ставить.
И как жить то после этого, чувствую себя ни как у Христа за пазухой, а как в открытом поле, я в расстройстве просто, хотя молодцы находят ошибки, исправляют.

[roma333]

А нечего ставить всякие нестабильные пакеты, в sudo stable версии все нормально

[coolman]

А нечего ставить всякие нестабильные пакеты, в sudo stable версии все нормально

если мне то я ставлю с репозитария по средствам обновления, а об уязвимостях пишут на всевозможных сайтах по безопасности.

[AnrDaemon]

Именно вам. Зачем ставите нестабильные дистрибутивы? И зачем флудите в топике?

[mouserok]

как можно отмониторить сколько за последнии 10 секунд было подключений с IP 192.168.10.17 на порт 80