Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El 25 de octubre de 2017 15:18:45 CEST, Juan Lavieri escribió: >Hola. > >Ante todo por favor tomen nota que esta intervención no es una crítica >ni algo por el estilo, mas bien veámoslo como una consulta en la misma >corriente de la consulta original. > > >El 25-10-2017 a las 08:16 a.m., JAP escribió: > >El 24/10/17 a las 22:41, u...@tutanota.de escribió: > > >Hola, como tuve inconvenientes con iptables-persistent y slim. El >Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando >los metodos para la carga de un script con las reglas al inicio del >sistema. Pero encontré tutoriales con varios años y no se si todavia >sirven para las versiones actuales de Debian. > >No se si colocarlo en /etc/network/if-pre-up.d >o en /etc/rc.local > >Por favor me podrían recomendar cual es el lugar mas fiable y seguro en >donde colocar el script para Debian 8/9 > >Gracias, saludos > > > >TODA la bibliografía de iptables recomienda crear las reglas en >/etc/rc.local o colgar un script desde allí. > > >¿Han tomado el cuenta que la mayor parte de la información sobre >iptables no está totalmente actualizada? > >Me explico. Actualmente debian utiliza systemd como sistema de inicio >y según tengo entendido, los scripts colocados en rc.local no se >inician de manera automática. > >Esto hace que la mejor manera de manejar el arranque de los diferentes >demonios sea mediante el propio systemd. > >Yo personalmente seguí las instruccines que se muestran aquí: > >https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/ > >luego de adaptarlas a mis necesidades. > > > >Desventaja: hay que ir probando de a una en una consola hasta que >funcione como te guste, pues la construcción es a mano. Pero una vez >logras lo que quieres, funciona sin inconvenientes. > >Ventaja: al ejecutarse al final de la secuencia de arranque, te >asegurás que todo está funcionando sin inconvenientes. Instalarlas como >ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no >funcione como es debido si has tenido un problema durante el proceso de >configuración de la red en el arranque. > >Si te estás metiendo con iptables, es porque estás profundizando tus >conocimientos de GNU/Linux, por lo que las interfaces de configuración >gráficas, no son lo mejor que tienes para aprender. > >iptables-persistent es interesante, pero lo mejor, es empezar cada >arranque con todo iptables limpio, y configurarlo línea a línea. > >No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te >puede dar una mano. > >Saludos. > > >Saludos. >-- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los >demás. Juan, solo le veo un inconveniente a este método, y es que si, por ejemplo, tienes un software como fail2ban, que va agregando reglas a iptables, y no salvas y restauras las reglas en el momento de un reinicio, y reestableces solo las que hay en el script, fail2ban tiene que volver a orlas agregando conforme vayan atacando. Lo mismo se podría modificar el script para que importara también las salvadas anteriormente. Saludos, Ramses
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El 25/10/17 a las 10:18, Juan Lavieri escribió: Hola. Ante todo por favor tomen nota que esta intervención no es una crítica ni algo por el estilo, mas bien veámoslo como una consulta en la misma corriente de la consulta original. El 25-10-2017 a las 08:16 a.m., JAP escribió: El 24/10/17 a las 22:41, u...@tutanota.de escribió: Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para la carga de un script con las reglas al inicio del sistema. Pero encontré tutoriales con varios años y no se si todavia sirven para las versiones actuales de Debian. No se si colocarlo en /etc/network/if-pre-up.d o en /etc/rc.local Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde colocar el script para Debian 8/9 Gracias, saludos TODA la bibliografía de iptables recomienda crear las reglas en /etc/rc.local o colgar un script desde allí. ¿Han tomado el cuenta que la mayor parte de la información sobre iptables no está totalmente actualizada? man iptables Actualizado a la versión 1.6.1 en "buster", que es la última, que con ipv6 anda que es una maravilla. Y si te quedan dudas, http://netfilter.org/projects/iptables/ Me explico. Actualmente debian utiliza systemd como sistema de inicio y según tengo entendido, los scripts colocados en rc.local no se inician de manera automática. Sigue funcionando como siempre. La única diferencia es que se llama desde un script específico de systemd El cual, si uno se anima, se puede toquetear al igual que /etc/rc.local. Pero por una cuestión de costumbre, prefiero mantener las cosas en este viejo, pues es más fácil de ubicar. Tal vez a futuro, lo más prolijo sería que /etc/rc.local se convierta en un enlace a /lib/systemd/system/rc-local.service - :~# cat /lib/systemd/system/rc-local.service # This file is part of systemd. # # systemd is free software; you can redistribute it and/or modify it # under the terms of the GNU Lesser General Public License as published by # the Free Software Foundation; either version 2.1 of the License, or # (at your option) any later version. # This unit gets pulled automatically into multi-user.target by # systemd-rc-local-generator if /etc/rc.local is executable. [Unit] Description=/etc/rc.local Compatibility ConditionFileIsExecutable=/etc/rc.local After=network.target [Service] Type=forking ExecStart=/etc/rc.local start TimeoutSec=0 RemainAfterExit=yes GuessMainPID=no - Lo único raro que hubo, fue que al principio, con "Jessie", /etc/rc.local no era "ejecutable por defecto", y por ende, /lib/systemd/system/rc-local.service no lo ejecutaba, razón por la que había que cambiarle los permisos a mano. Esto hace que la mejor manera de manejar el arranque de los diferentes demonios sea mediante el propio systemd. Yo personalmente seguí las instruccines que se muestran aquí: https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/ luego de adaptarlas a mis necesidades. Desventaja: hay que ir probando de a una en una consola hasta que funcione como te guste, pues la construcción es a mano. Pero una vez logras lo que quieres, funciona sin inconvenientes. Ventaja: al ejecutarse al final de la secuencia de arranque, te asegurás que todo está funcionando sin inconvenientes. Instalarlas como ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no funcione como es debido si has tenido un problema durante el proceso de configuración de la red en el arranque. Si te estás metiendo con iptables, es porque estás profundizando tus conocimientos de GNU/Linux, por lo que las interfaces de configuración gráficas, no son lo mejor que tienes para aprender. iptables-persistent es interesante, pero lo mejor, es empezar cada arranque con todo iptables limpio, y configurarlo línea a línea. No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te puede dar una mano. Saludos. Saludos. -- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los demás. Según mi psicólogo, la culpa es de los padres... -- JAP https://wiki.debian.org/es/NormasLista
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
Hola. Ante todo por favor tomen nota que esta intervención no es una crítica ni algo por el estilo, mas bien veámoslo como una consulta en la misma corriente de la consulta original. El 25-10-2017 a las 08:16 a.m., JAP escribió: El 24/10/17 a las 22:41, u...@tutanota.de escribió: Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para la carga de un script con las reglas al inicio del sistema. Pero encontré tutoriales con varios años y no se si todavia sirven para las versiones actuales de Debian. No se si colocarlo en /etc/network/if-pre-up.d o en /etc/rc.local Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde colocar el script para Debian 8/9 Gracias, saludos TODA la bibliografía de iptables recomienda crear las reglas en /etc/rc.local o colgar un script desde allí. ¿Han tomado el cuenta que la mayor parte de la información sobre iptables no está totalmente actualizada? Me explico. Actualmente debian utiliza systemd como sistema de inicio y según tengo entendido, los scripts colocados en rc.local no se inician de manera automática. Esto hace que la mejor manera de manejar el arranque de los diferentes demonios sea mediante el propio systemd. Yo personalmente seguí las instruccines que se muestran aquí: https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/ luego de adaptarlas a mis necesidades. Desventaja: hay que ir probando de a una en una consola hasta que funcione como te guste, pues la construcción es a mano. Pero una vez logras lo que quieres, funciona sin inconvenientes. Ventaja: al ejecutarse al final de la secuencia de arranque, te asegurás que todo está funcionando sin inconvenientes. Instalarlas como ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no funcione como es debido si has tenido un problema durante el proceso de configuración de la red en el arranque. Si te estás metiendo con iptables, es porque estás profundizando tus conocimientos de GNU/Linux, por lo que las interfaces de configuración gráficas, no son lo mejor que tienes para aprender. iptables-persistent es interesante, pero lo mejor, es empezar cada arranque con todo iptables limpio, y configurarlo línea a línea. No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te puede dar una mano. Saludos. Saludos. -- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los demás.
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El 24/10/17 a las 22:41, u...@tutanota.de escribió: Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para la carga de un script con las reglas al inicio del sistema. Pero encontré tutoriales con varios años y no se si todavia sirven para las versiones actuales de Debian. No se si colocarlo en /etc/network/if-pre-up.d o en /etc/rc.local Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde colocar el script para Debian 8/9 Gracias, saludos TODA la bibliografía de iptables recomienda crear las reglas en /etc/rc.local o colgar un script desde allí. Desventaja: hay que ir probando de a una en una consola hasta que funcione como te guste, pues la construcción es a mano. Pero una vez logras lo que quieres, funciona sin inconvenientes. Ventaja: al ejecutarse al final de la secuencia de arranque, te asegurás que todo está funcionando sin inconvenientes. Instalarlas como ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no funcione como es debido si has tenido un problema durante el proceso de configuración de la red en el arranque. Si te estás metiendo con iptables, es porque estás profundizando tus conocimientos de GNU/Linux, por lo que las interfaces de configuración gráficas, no son lo mejor que tienes para aprender. iptables-persistent es interesante, pero lo mejor, es empezar cada arranque con todo iptables limpio, y configurarlo línea a línea. No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te puede dar una mano. Saludos. -- JAP https://wiki.debian.org/es/NormasLista
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El 25 de octubre de 2017, 3:41, escribió: > > Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop > manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos > para la carga de un script con las reglas al inicio del sistema. Pero > encontré tutoriales con varios años y no se si todavia sirven para las > versiones actuales de Debian. > > No se si colocarlo en /etc/network/if-pre-up.d > o en /etc/rc.local > > Por favor me podrían recomendar cual es el lugar mas fiable y seguro en > donde colocar el script para Debian 8/9 > > Gracias, saludos > > > siempre en /etc/network entre que se ejecuta el servicio de network y se ejecuta el rc.local (que es el último), pueden pasar milisegundos o minutos por un atasque de por medio; y durante ese intervalo tu máquina NO está protegida, -- [o - - - -- - (\ | u d t ( \_('> c c s (__(=_) s o ? -"=
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El día 24 de octubre de 2017, 23:19, Fausto Disla escribió: > Hola, > > Me parece que en /etc/rc.local seria lo ideal > > Gracias > > On Oct 24, 2017 9:41 PM, wrote: >> >> >> Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop >> manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos >> para la carga de un script con las reglas al inicio del sistema. Pero >> encontré tutoriales con varios años y no se si todavia sirven para las >> versiones actuales de Debian. >> >> No se si colocarlo en /etc/network/if-pre-up.d >> o en /etc/rc.local >> >> Por favor me podrían recomendar cual es el lugar mas fiable y seguro en >> donde colocar el script para Debian 8/9 >> >> Gracias, saludos >> >> > Opino igual, en rc.local seria lo mejor, pero si usas debian te recomiendo usar Shorewall! Una vez que lo usas te olvidas de iptables...
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
Hola, Me parece que en /etc/rc.local seria lo ideal Gracias On Oct 24, 2017 9:41 PM, wrote: > > Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop > manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos > para la carga de un script con las reglas al inicio del sistema. Pero > encontré tutoriales con varios años y no se si todavia sirven para las > versiones actuales de Debian. > > No se si colocarlo en /etc/network/if-pre-up.d > o en /etc/rc.local > > Por favor me podrían recomendar cual es el lugar mas fiable y seguro en > donde colocar el script para Debian 8/9 > > Gracias, saludos > > >
Iptables - mejor metodo para cargar reglas al inicio del sistema
Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para la carga de un script con las reglas al inicio del sistema. Pero encontré tutoriales con varios años y no se si todavia sirven para las versiones actuales de Debian. No se si colocarlo en /etc/network/if-pre-up.do en /etc/rc.local Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde colocar el script para Debian 8/9 Gracias, saludos