reglas de iptables se borran

Marcos Ramirez mramireza en sanidadnaval.cl
Mie Dic 11 17:03:14 CLST 2013 

On Wed, 2013-12-11 at 14:20 -0300, Pablo Alberto Flores wrote:
> pareciera pero no esta completo
> esto es lo que tengo en /etc/sysconfig/iptables

Por lo que veo, las reglas activas coinciden con las reglas en el
iptables. 


> hasta el primer commit
> pero se supone que iptables-save debería guardar la configuracion o no!!

Así es, siempre que tus reglas estén cargadas en el momento de grabar.

En otro e-mail indicas que usas un script para levantar las reglas, ¿Por
que si basta con agregarlas al /etc/sysconfig/iptables?

Te sugiero utilizar los medios formales para agregar tus reglas, esto
es, edita tu archivo /etc/sysconfig/iptables y no uses scripts
"personalizados" para eso.

No tengo el script a mano, pero sospecho que algo como "firewall.sh;
service iptables save" debería bastar para agregar tus reglas a la
configuración del sistema.

Sobre el problema mismo, probablemente tienes algún proceso que reinicia
el servicio iptables y por eso tus reglas se eliminan y sólo quedan las
reglas formales (logrotate o similar?).

Atte.

> ------------------
> # Firewall configuration written by system-config-firewall
> # Manual customization of this file is not recommended.
> *filter
> :INPUT ACCEPT [0:0]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A INPUT -p icmp -j ACCEPT
> -A INPUT -i lo -j ACCEPT
> -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
> -A INPUT -j REJECT --reject-with icmp-host-prohibited
> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> COMMIT
> # Generated by webmin
> *mangle
> :FORWARD ACCEPT [0:0]
> :INPUT ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> :PREROUTING ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> COMMIT
> # Completed
> # Generated by webmin
> *nat
> :OUTPUT ACCEPT [0:0]
> :PREROUTING ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> -A PREROUTING -p tcp -m tcp --dport 1000 -j DNAT --to-destination
> 172.16.115.5:3389
> -A PREROUTING -p tcp -m tcp --dport 1003 -j DNAT --to-destination
> 172.16.115.14:3389
> -A PREROUTING -p tcp -m tcp --dport 1002 -j DNAT --to-destination
> 172.16.115.243:80
> -A PREROUTING -p tcp -m tcp --dport 9910 -j DNAT --to-destination
> 172.16.114.192:3389
> -A POSTROUTING -o eth0 -j MASQUERADE
> COMMIT
> # Completed
> -------------------------
>

Más información sobre la lista de distribución Linux