Debian - запуск UFW (несложный брандмауэр) до работы сетевых интерфейсов

1481
Tomasz Zieliński

Я хочу установить UFW на Debian Lenny. Все выглядит просто, за исключением того, что я не знаю, куда подключить скрипт запуска UFW, чтобы он настраивал iptables до того, как hax0rs сможет взломать.

Я просмотрел каталоги уровня выполнения и в /etc/rc0.d, /etc/rc6.d и /etc/rcS.d есть такие элементы:

S35networking -> ../init.d/networking S36ifupdown -> ../init.d/ifupdown 

Уровни запуска 0 и 6 предназначены для выключения и перезагрузки, так что я думаю, что там ничего не должно быть изменено, но уровень запуска S рекламирует себя (в README) как-то для меня:

The scripts in this directory whose names begin with an 'S' are executed once when booting the system, even when booting directly into single user mode.   The following sequence points are defined at this time:  * After the S40 scripts have executed, all local file systems are mounted and networking is available. All device drivers have been initialized. 

(Что меня беспокоит, так это то, что и rc0 / 6.d, и rcS.d указывают на одно networkingи то же и на ifupdownскрипты, но, посмотрев на источники, я считаю, что эти скрипты достаточно умны, чтобы понять, с чего начать и где прекратить работу в сети.)

Теперь, я думаю, что я должен подключить мой /lib/ufw/ufw-initINTO /etc/rcS.d, с приоритетом выше, что один из ifupdownи networking, т <= 38 для моего /etc/rcS.d.

Прав ли я в этом «анализе»?

1
На самом деле это соответствует ServerFault больше, чем Superuser .. Tomasz Zieliński 13 лет назад 0

1 ответ на вопрос

2
Olli

При запуске rc0.dи rc6.d, initвызывает stopоперацию для сценариев. Таким образом, скрипт знает, должен он запускаться или останавливаться.

По крайней мере, в моем Debian есть /etc/rcS.d/S14ufw, который начинается одновременно с interfaces ( S14networking). Если это проблема (может быть очень короткое время с включенным интерфейсом и выключенным межсетевым экраном), вы можете переместить его S13ufw, например, в rcS.d.

Вы можете посмотреть man update-rc.dтакже.

Еще раз спасибо! Я работаю на Debian Lenny, в котором нет UFW в репозиториях, поэтому я должен установить его вручную. Кстати, у меня нет проблем даже без UFW, потому что у меня открыто только два порта, но я хочу отключить все попытки входа в систему через sshd и т. Д. Tomasz Zieliński 13 лет назад 0