Iptables
netfilter-persistent reload 會打開大門半分鐘嗎?
我設置了 iptables 來阻止所有試圖在我的 VPN 連接之外逃逸的傳出流量。和 netfilter-persistent 使 iptables 規則持久化。這一切都很完美。
現在因為連接的 IP 不時發生變化,我想製作一個腳本來查找 IP 並每小時更新 iptables 白名單規則。
關於這個的兩個相關問題..
- 每當腳本重新載入 netfilter-persistent 服務以更新 iptables 時,是否有瞬間流量可能會逃出 VPN?還是在沒有完全刷新的情況下覆蓋新規則?
- 在系統重啟期間怎麼樣?網路介面是否在 netfilter-persistent 啟動之前出現,或者非 VPN 流量是否有可能在啟動期間逃逸?
我覺得這在這兩種情況下都是合乎邏輯的,它應該是安全的 ’leakage’ ,但找不到任何證實這一點的東西。
- Netfilter-persistent 腳本使用
iptables-restore
工具,使 iptables 規則集的原子重新載入。- 引導期間的 Netfilter-persistent 腳本在介面啟動之前執行(您可以檢查 的輸出
systemctl cat netfilter-persistent.service
)。