web-dev-qa-db-ja.com

ループバックインターフェイスが初期化される前にすべてのファイアウォールルールをロードすることの不利な点や危険はありますか?

かなり複雑なiptables/ip6tables複数のインターフェースに影響を与えるルール。ファイアウォールルールが常に適用されていることを確認したいと思います。 (現時点では)存在しないインターフェース(たとえば、iptables -A INPUT -i eth999 -j ACCEPT)次に、ルールを物理インターフェイスに関連付けるのではなく、常に存在するloインターフェイスに関連付けると思いました。

# head /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback
        pre-up /sbin/iptables-restore < /etc/network/IPv4_fw_rules
        pre-up /sbin/ip6tables-restore < /etc/network/IPv6_fw_rules
#

これには不利な点はありますか?

3
Martin

Loが最初に初期化されるという保証はありません(たまたまこのように構成されている可能性がありますが、それはがそのようになっているという意味ではありませんそしてそれは確かに将来のある時点で変更されるかもしれません)。

しかし、なぜそれをネットワークインターフェイスに関連付けるのでしょうか。ネットワークが初期化される前にロードし、2つのコマンドを実行してファイアウォールを初期化するカスタムinitスクリプトまたはsystemdサービスを追加するだけです。完了です。とにかくファイアウォールを設定する方法です...

2
Wouter Verhelst