Bezpieczne testowanie reguł firewalla

Testowanie firewalla niesie ze sobą pewne zagrożenia. Przy przeładowaniu reguł może okazać się, że coś przeoczyliśmy i zostaniemy odcięci od maszyny. W przypadku maszyn produkcyjnych taka sytuacja jest niedopuszczalna. Jeśli jednak jesteśmy zmuszeni pracować w środowisku produkcyjnym, to z pomocą przychodzą nam takie polecenia jak at, atq, atrm.

Zanim wypróbujemy testowy zestaw reguł, stworzymy zadanie przywrócenia wersji stabilnej po 5 minutach. W ten sposób zostaną załadowane reguły z pliku /etc/pf.conf po 5 minutach od uruchomienia polecenia.

# echo "/sbin/pfctl -f /etc/pf.conf" -r now | at + 5 minutes
commands will be executed using /bin/ksh
job 1318160880.c at Sun Oct  9 13:48:00 2011

Po uruchomieniu polecenia program zwróci nam numer zadania w tym przypadku to 1318160880.c, jest on potrzebny żeby usunąć zadanie. Listę zadań możemy uzyskać za pomocą polecenia atq

# atq
 Rank     Execution Date     Owner          Job       Queue
  1st   Oct  9, 2011 13:48   root       1318160880.c   c

Teraz możemy załadować nowy zestaw reguł zapisany w pliku /etc/pf.conf.new.

# pfctl -f /etc/pf.conf.new

Jeśli stwierdzimy że wszystko działa poprawnie, możemy usunąć zadanie przywrócenia oryginalnych reguł. Użyjemy do tego polecenia atrm.

# atrm 1318160880.c
1318160880.c removed

Linki

Komentarze są wyłączone.