web-dev-qa-db-ja.com

netfilter-persistent reloadは、ゲートを半分の間開きますか?

VPN接続の外部から脱出しようとするすべての発信トラフィックをブロックするようにiptablesを設定しています。およびnetfilter-persistentを使用して、iptablesルールを永続化します。これはすべて完全に機能します。

接続IPは時々変更されるため、IPを検索し、iptablesホワイトリストルールを1時間ごとに更新するスクリプトを作成したいと思います。

これに関する2つの関連する質問。

  1. スクリプトがnetfilter-persistentサービスをリロードしてiptablesを更新するときはいつでも、トラフィックがVPNの外部に逃げる可能性がある瞬間がありますか?または最初に完全なフラッシュなしで新しいルールが上書きされますか?
  2. そして、システムの再起動中にはどうですか?netfilter-persistentが起動する前にネットワークインターフェイスが起動しますか、それとも起動中に非VPNトラフィックがエスケープする可能性がありますか?

どちらの場合も「漏れ」から安全であるはずだと私は感じていますが、これを確認するものは何も見つかりませんでした。

iptablesvpnfirewall
2
Jowski
  1. Netfilter-persistentスクリプトはiptables-restoreツールを使用し、iptablesルールセットのアトミックリロードを行います。
  2. 起動中のNetfilter永続スクリプトは、インターフェイスが起動する前に実行されます(systemctl cat netfilter-persistent.serviceの出力を確認できます)。
1
Anton Danilov