【已装win，去他喵的debian】debian的iptables咋持久化？

tiga

笑花落半世琉璃 发表于 2021-8-19 23:43
我就是用docker。。。。它自己加的规则全写到iptables里面，我想问的是我现在不管怎么改iptables规则，都 ...

这是 docker 加的 nat table，docker 服务启动了就会有，filter table 里干干净净，你要控制的应该在 filter table 里

笑花落半世琉璃

tiga 发表于 2021-8-19 23:47
这是 docker 加的 nat table，docker 服务启动了就会有，filter table 里干干净净，你要控制的应该在 fil ...

怎么说不明白呢，我现在的问题是，不管我改哪个表，都没办法持久化，一重启就又回到原来的状态。

更何况我都-F  -X -Z直接吧所有规则都清空了，还管它哪个表呢，连ssh都连不上了，我还是在vnc里面操作的。iptables-save 也好netfilter-persistent save也好，全都没用就离谱

不管了装windows算了

zxxx

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination      

apt install netfilter-persistent iptables-persistent && systemctl enable netfilter-persistent

cat /etc/iptables/rules.v4
空白，无内容

修改
cat << "EOF" > /etc/iptables/rules.v4
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --dport 52698 -j ACCEPT
COMMIT
EOF

重装
iptables-restore < /etc/iptables/rules.v4 && /usr/sbin/netfilter-persistent reload

查看
iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:52698

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

保存
iptables-save > /etc/iptables/rules.new.v4

查看
cat /etc/iptables/rules.new.v4
# Generated by iptables-save v1.8.7 on Thu Aug 19 09:13:03 2021
*filter
:INPUT ACCEPT [17:1431]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [12:2012]
-A FORWARD -p tcp -m tcp --dport 52698 -j ACCEPT
COMMIT
# Completed on Thu Aug 19 09:13:03 2021

笑花落半世琉璃

zxxx 发表于 2021-8-20 00:13
iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         ...

你说这个，我试了一下午，没用。
像你罗列的，没装docker之前啥都正常，可装完docker跑点内容就完全失效，别说持久化了，就连保存的文件内容，都是修改规则之前的。

而且最离谱的，我手动改save后的规则文件，reload能用没错，也确实能达到效果。可重启之后依然无法持久化，直接恢复更改之前的规则，不管是net表，还是那什么fi表，里面的内容全部恢复，映射的端口全开。

sdqu

赵蜇 发表于 2021-8-19 21:38
我一般是这样持久化的apt remove iptables

你这个不太方便，我一般 rm -rf / 来持久化

mmc199

因为被cloud-init接管了网络配置，简单点就是systemd自启一个服务，开机执行一遍你要做的网络命令，设在After=network.target之后启动。