如果此接口出现故障,是否应该为特定接口刷新iptables规则?
它有什么优点吗?
目前我正在使用iptables-restore并且我不删除规则,即使我发送接口,规则只是在启动时加载,这就是全部。
你推荐什么?
我不会打扰。 可能有一些边缘情况是否可能影响FW性能(例如,如果您有成千上万的规则,复杂的fwmarks等运行未使用的接口)。
我已经使用vlans,heartbeat和iptables实现了高度可用的防火墙。 在这种情况下,备用防火墙将加载所有规则,即使它没有任何IP(我们提前创buildvlan设备)。
此外,如果您从一个脚本加载所有防火墙规则,然后只刷新单个界面的规则,则必须重新加载所有规则以恢复界面。 这将不必要地中断您build立的连接。
我不认为这是必要的。 另外,如果您使用DROP策略并刷新错误的内容,则可以将其locking在服务器外面。