Iptables

netfilter-persistent reload 會打開大門半分鐘嗎?

  • April 20, 2021

我設置了 iptables 來阻止所有試圖在我的 VPN 連接之外逃逸的傳出流量。和 netfilter-persistent 使 iptables 規則持久化。這一切都很完美。

現在因為連接的 IP 不時發生變化,我想製作一個腳本來查找 IP 並每小時更新 iptables 白名單規則。

關於這個的兩個相關問題..

  1. 每當腳本重新載入 netfilter-persistent 服務以更新 iptables 時,是否有瞬間流量可能會逃出 VPN?還是在沒有完全刷新的情況下覆蓋新規則?
  2. 在系統重啟期間怎麼樣?網路介面是否在 netfilter-persistent 啟動之前出現,或者非 VPN 流量是否有可能在啟動期間逃逸?

我覺得這在這兩種情況下都是合乎邏輯的,它應該是安全的 ’leakage’ ,但找不到任何證實這一點的東西。

  1. Netfilter-persistent 腳本使用iptables-restore工具,使 iptables 規則集的原子重新載入。
  2. 引導期間的 Netfilter-persistent 腳本在介面啟動之前執行(您可以檢查 的輸出systemctl cat netfilter-persistent.service)。

引用自:https://serverfault.com/questions/966003