iptables を設定する時のテクニック
皆さんご存知かもしれませんが、
iptables の設定をするときのテクニックを一つ
iptables はパケットフィルタリングを提供するソフトなのですが、
うっかり間違った設定をしてsshのパケットまで遮断してしまうと、
間違った設定のまま、それを直すこともできないという
恐ろしいことになります
そこで、すべてのパケットを許可するスクリプトを作成しておいて、
一定時間ごとにcronで実行させます。
vi /usr/local/firewall/debug/accept.sh
#/bin/sh /sbin/iptables -F /sbin/iptables -F -t nat /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
これをcronで実行させます
01 * * * * root /usr/local/firewall/debug/accept.sh 11 * * * * root /usr/local/firewall/debug/accept.sh 21 * * * * root /usr/local/firewall/debug/accept.sh 31 * * * * root /usr/local/firewall/debug/accept.sh 41 * * * * root /usr/local/firewall/debug/accept.sh 51 * * * * root /usr/local/firewall/debug/accept.sh
として、うっかりした場合も最低10分でフィルタがリセットされるように設定しておくといいです