Apr 27, 2009

iptables -F に気をつけよう

iptables -F はルールのクリアを行うが、ポリシーのクリアは行わない。 例えば

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http state NEW 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
という設定の時に iptables -F を実行しようものなら
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
という状態になってしまい、全てのパケットが DROP されて頭を抱えることに。 必ず iptables -F の前にポリシーを確認しよう、という教訓。

iptables の設定を大きく変更するときに少しでも不安があったら

(sleep 60; /etc/init.d/iptables restart) &
を予め仕込んでおくことを忘れない様にしたい。

TrackBack ping me at
http://www.in-vitro.jp/blog/index.cgi/Linux/20090427_01.trackback
Post a comment

writeback message: Ready to post a comment.