sslug-teknik team mailing list archive

[Bent Bagger <bent.bagger@xxxxxxx>]

Verner Kjærsgaard skrev:

> Tak for rådet, men jeg har en anden erfaring med SuSE9, 10 og 11. Plus
> SLES og SLED. Nemlig at "iptables -F" nok rydder tabellen osv., men
> samtidig knuser netværket. Så jeg fra en konsol SKAL give "rcnetwork
> restart".  Jeg har dummet mig med -F flere gange. Det er sikkert nok en
> bug i SuSE, men altså alligevel...
> 

Det er ikke nødvendigvis en fejl i SUSE. -F sletter godt nok alle
regler, men den ændrer ikke ved 'default policy' så hvis den er sat til
DROP, så bliver der lukket helt i ;-) Af samme grund bruger jeg aldrig
default policy, men sørger for at have en eksplicit DROP-regel sidst i
kæderne.

En anden taktik kunne være denne: Når man piller ved firewall'en skal
man vente med at sætte reglerne ind i startscriptet (som man f.eks. gør
i Gentoo ved /etc/init.d/iptables save - andre distributioner har nok
noget tilsvarende), men udfører dem 'i hånden'.

Dernæst bruger man 'at'-kommandoen til at sikre en reboot om f.eks. 5 min:

at now "+5min"
reboot
^D

Hvis man så bliver 'lukket ude' fordi man kvajer sig, så venter man blot
5 minutter, hvorpå maskonen rebooter og vel at mærke kommer op med et
sæt firewall-regler, der virker.

Skulle man - mod forventning? - have fået et godt sæt regler, kan man
annullere reboot'en med atrm-kommandoen.

Bent