我正在构建防火墙规则生成器,我需要以原子方式应用所有iptables规则。唯一可以保证的方法是使用iptables恢复文件,该文件具有自己的语法。生成这样一个文件的唯一保证方法是运行iptables命令,使用iptables转储它们并恢复它们,这对于实时系统来说似乎是完全不可接受的。有没有更简单的方法,例如解析原始iptables规则并生成iptables恢复的软件?我找到fwmacro,但它没有维护,并且有自己的语法,例如:
-A 10stateful -mstate --state INVALID -j DROP
而不是
iptables -A stateful -mstate --state INVALID -j DROP
答案 0 :(得分:0)
我发现生成iptables-restore文件的最简单方法是运行iptables-save > rules.ipt,然后使用任何必需的语句编辑该文件。