iptablesルールをクリーンかつサイレントにリロードする方法は？

iptables-restoreコマンドを使用して新しいルールをロードしてみましたか？これは理論的にはアトミック操作であり、ほとんどの問題を処理する可能性があります。これには、iptables-saveで使用される形式でルールを記述する必要があります。

チェーンを使用する場合、これは非常に簡単です。

チェーンを1つか2つ作成し、それにすべてのルールを追加します。ルールを再適用する必要がある場合は、チェーンをフラッシュ、削除、および再作成するだけです。

したがって、更新中に、確立された接続を許可するルールを上部に挿入し（おそらく、これを常に有効にし、決して触れないルールにしたい場合）、チェーンをフラッシュしてから、新しいルールをチェーンに追加します。これは、可能な限りステートフルルールを使用していることを前提としています。

あなたのような極端なケースの解決策はないと思います。ただし、良いニュースは、古いルールの上に必要なルールを挿入してから古いルールを削除するPythonスクリプトを作成するのは非常に簡単です。

orchidea 10.0.0.1 /etc/exim % iptables -L -n --line-numbers
Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
4    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53

上記の出力をチェーンとルール番号、たとえば4について解析するだけで、iptables -I chain 4 newruleを実行してから、iptables -D chain5を実行します。

スクリプトの呼び出し方法に応じて、同じチェーンに2つの名前のいずれかを使用するようにスクリプトを調整することをお勧めします（プレフィックスを使用するのが理にかなっています）。したがって、チェーンdropthisの代わりに、set0_dropthisまたはset1_dropthisがあります。

そうすれば、トラフィックを妨げることなく、新しいルールのセットを作成できます。その後、デフォルトのチェーンがフラッシュされ、新しいセットをターゲットとして再作成されます。最適なのは、各デフォルトチェーンに、トラフィックを古いセットまたは新しいセットに転送するルールを1つだけ含めることです。この単一のルールの置き換えは高速です（さらにiptables -A; iptables -D ... 1で安全です）。その後、古いセットのチェーンがフラッシュされて削除されます。

ラッパースクリプトは、現在アクティブなセットを検出し、それぞれのパラメーターを使用して実際のスクリプトを呼び出します。

これを実現する唯一の方法は、既存のスクリプトを作り直してiptables-restore形式を使用するか、既存のスクリプトを変更してコマンドを実行する代わりにstdoutにダンプし、2番目のスクリプトを作成してiptables-restoreに変換することです。フォーマット。

iptables-restoreはアトミックであることが保証されているため、シームレスなルール置換を行うための唯一の信頼できる方法です。

iptables-restore形式を取得するという点での私の提案は、スクリプトをVMに対して、またはライブマシン上の別のネットワーク名前空間で実行し、iptables-saveを使用して取得することです。 。