Содержание

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7);
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7);
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6);
  • Astra Linux Common Edition 2.12.

Внимание!

При включенном защитном механизме «Мандатный контроль целостности» описанные ниже действия необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности

На время выполнения описанных действий необходимо снять запрет на установку бита исполнения в политиках безопасности.

Сохранение текущих правил iptables в файл

Для предотвращения потери изменений в случае нештатного выключения компьютера, сохранение в файл необходимо выполнять сразу после каждого внесения изменений в правила iptables.

Чтобы сохранить текущие правила iptables в файл, например /etc/iptables.rules, необходимо:

  1. Если файл не был создан ранее, то создать пустой файл и ограничить к нему доступ. Для этог в терминале выполнить команды:

    sudo touch /etc/iptables.rules
    sudo chmod 640 /etc/iptables.rules

    Ограничение доступа (ограничение на чтение файла) установлено для предотвращения возможных атак с использованием информации об открытых сетевых портах, которую можно получить  из файла с сохраненными правилами iptables.

  2. Выгрузить текущие правила iptables в файл, выполнив в терминале команду:

    sudo iptables-save | sudo tee /etc/iptables.rules > /dev/null

Автоматическое сохранение правил при штатном выключении компьютера

По умолчанию сценарии, выполняющиеся в автоматическом режиме после выключения сетевого интерфейса, размещены каталоге /etc/network/if-post-down.d/.

Для обеспечения автоматического сохранения правил iptables после выключения сетевого интерфейса необходимо:

  1. В каталоге /etc/network/if-post-down.d/ создать файл, например iptables, со следующим содержимым:

    #!/bin/sh
    touch /etc/iptables.rules
    chmod 640 /etc/iptables.rules
    iptables-save > /etc/iptables.rules
    exit 0
  2. Сделать созданный сценарий исполнимым, выполнив в терминале команду:

    sudo chmod +x /etc/network/if-post-down.d/iptables

Автоматическое восстановление правил

По умолчанию сценарии, выполняющиеся в автоматическом режиме перед включением сетевого интерфейса, размещены в каталоге /etc/network/if-pre-up.d/.

Для обеспечения автоматического восстановления правил iptables перед включением сетевого интерфейса необходимо:

  1. В каталоге /etc/network/if-pre-up.d/ создать файл, например iptables, со следующим содержимым:

    #!/bin/sh
    iptables-restore < /etc/iptables.rules
    exit 0
  2. Сделать созданный сценарий исполнимым, выполнив в терминале команду:

    sudo chmod +x  /etc/network/if-pre-up.d/iptables

  • No labels