Forum » Omrežja in internet » iptables restart
iptables restart
BRBR ::
Restart računalnika, vse OK, vsi načrtovani porti odprti.
zagnan je firestarter
service iptables restart
In potem ni noben port razen porta 80 odprt. (imam odprto sejo z nxclient in to dela dokler seje ne zaprem)
To je zdaj moj občutek zakaj se to zgodi, restart iptables, brez vsakih sprememb v tabelah. Nisem pa preprićan da je to to.
Kakšna misel ?
zagnan je firestarter
service iptables restart
In potem ni noben port razen porta 80 odprt. (imam odprto sejo z nxclient in to dela dokler seje ne zaprem)
To je zdaj moj občutek zakaj se to zgodi, restart iptables, brez vsakih sprememb v tabelah. Nisem pa preprićan da je to to.
Kakšna misel ?
BRBR ::
root@localhost ~]# iptables -L -vn
Chain INPUT (policy DROP 3 packets, 120 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * staticip.12 0.0.0.0/0 tcp flags:!0x17/0x02
141K 31M ACCEPT udp -- * * staticip.12 0.0.0.0/0
0 0 ACCEPT tcp -- * * 91.223.182.11 0.0.0.0/0 tcp flags:!0x17/0x02
140 10207 ACCEPT udp -- * * 91.223.182.11 0.0.0.0/0
3645K 3948M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
9 600 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/sec burst 5
1349 166K DROP all -- eth0 * 0.0.0.0/0 255.255.255.255
98239 7941K DROP all -- * * 0.0.0.0/0 staticip.255
0 0 DROP all -- * * 224.0.0.0/8 0.0.0.0/0
4 112 DROP all -- * * 0.0.0.0/0 224.0.0.0/8
0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0
462 18628 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 LSI all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5
1490K 166M INBOUND all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Unknown Input'
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/sec burst 5
0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Unknown Forward'
Chain OUTPUT (policy DROP 14 packets, 11503 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * staticip.58 staticip.12 tcp dpt:53
141K 10M ACCEPT udp -- * * staticip.58 staticip.12 udp dpt:53
0 0 ACCEPT tcp -- * * staticip.58 91.223.182.11 tcp dpt:53
145 10443 ACCEPT udp -- * * staticip.58 91.223.182.11 udp dpt:53
3645K 3948M ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 224.0.0.0/8 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 224.0.0.0/8
0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0
2 80 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
1829K 1707M OUTBOUND all -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Unknown Output'
Chain INBOUND (1 references)
pkts bytes target prot opt in out source destination
1353K 159M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
733 55708 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
136K 6687K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:80
22 1144 ACCEPT tcp -- * * staticip 01 0.0.0.0/0 tcp dpt:3306
0 0 ACCEPT udp -- * * staticip 01 0.0.0.0/0 udp dpt:3306
3 156 ACCEPT tcp -- * * staticip 01 0.0.0.0/0 tcp dpts:20:21
0 0 ACCEPT udp -- * * staticip 01 0.0.0.0/0 udp dpts:20:21
0 0 ACCEPT tcp -- * * 192.168.1.2 0.0.0.0/0 tcp dpt:3306
0 0 ACCEPT udp -- * * 192.168.1.2 0.0.0.0/0 udp dpt:3306
0 0 ACCEPT tcp -- * * 192.168.1.2 0.0.0.0/0 tcp dpts:20:21
0 0 ACCEPT udp -- * * 192.168.1.2 0.0.0.0/0 udp dpts:20:21
1 52 ACCEPT tcp -- * * staticip 01 0.0.0.0/0 tcp dpt:8899
0 0 ACCEPT udp -- * * staticip 01 0.0.0.0/0 udp dpt:8899
253 19850 LSI all -- * * 0.0.0.0/0 0.0.0.0/0
Chain LOG_FILTER (5 references)
pkts bytes target prot opt in out source destination
Chain LSI (2 references)
pkts bytes target prot opt in out source destination
253 19850 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
227 11032 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
227 11032 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
26 8818 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
26 8818 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain LSO (25 references)
pkts bytes target prot opt in out source destination
0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Outbound '
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTBOUND (1 references)
pkts bytes target prot opt in out source destination
45 4257 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1828K 1707M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LSO all -- * * 0.0.0.0/0 178.58.177.148
0 0 LSO all -- * * 0.0.0.0/0 86.58.41.145
0 0 LSO all -- * * 0.0.0.0/0 196.28.43.194
0 0 LSO all -- * * 0.0.0.0/0 93.87.178.233
0 0 LSO all -- * * 0.0.0.0/0 88.190.16.36
0 0 LSO all -- * * 0.0.0.0/0 83.149.44.39
0 0 LSO all -- * * 0.0.0.0/0 213.143.79.206
0 0 LSO all -- * * 0.0.0.0/0 87.66.115.146
0 0 LSO all -- * * 0.0.0.0/0 87.66.115.146
0 0 LSO all -- * * 0.0.0.0/0 108.16.32.69
0 0 LSO all -- * * 0.0.0.0/0 174.233.133.130
0 0 LSO all -- * * 0.0.0.0/0 94.176.125.192
0 0 LSO all -- * * 0.0.0.0/0 217.65.56.92
0 0 LSO all -- * * 0.0.0.0/0 46.122.131.139
0 0 LSO all -- * * 0.0.0.0/0 46.165.197.142
0 0 LSO all -- * * 0.0.0.0/0 199.58.86.211
0 0 LSO all -- * * 0.0.0.0/0 70.198.2.221
0 0 LSO all -- * * 0.0.0.0/0 46.122.186.28
0 0 LSO all -- * * 0.0.0.0/0 66.54.88.132
0 0 LSO all -- * * 0.0.0.0/0 193.77.14.161
0 0 LSO all -- * * 0.0.0.0/0 199.58.86.209
0 0 LSO tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1806
0 0 LSO udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1806
0 0 LSO tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:50585
0 0 LSO udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:50585
1043 78869 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
[root@localhost ~]# iptables -L -t nat -vn
Chain PREROUTING (policy ACCEPT 1 packets, 60 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[root@localhost ~]#
Zgodovina sprememb…
- spremenil: BRBR ()
Brane22 ::
Nisi napisal nič o distroju. Tako na hitro:
Mogoče se ti firewall starta prek dveh skriptov, vsak s svojimi parametri. Eden je iptables, si ziher da nimaš kje še drugega ( firewall etc) ?
Iptables je vezan na kernel in če narediš kernel upgrade, ga je včasih fajn recompilat, da povzame headerje za novi kernel.
Aja, še to. gentoo ima IIRC po defoltu tako da vedno samo naloži binarne tabele.
To je kao kul, ker naj bi prišparalo čas pri zagonu, česar v praksi nekako ni videt.
Ampak ker je ta informacija binarna, je njena interpretacija odvisna od verzije kernela in verzije iptablesa.
Jaz sem to šutiral in napisal svoj skript, ki za vsako pravilo kliče iptables in ta zgenerira pravilo, ki se doda.
Mogoče se ti firewall starta prek dveh skriptov, vsak s svojimi parametri. Eden je iptables, si ziher da nimaš kje še drugega ( firewall etc) ?
Iptables je vezan na kernel in če narediš kernel upgrade, ga je včasih fajn recompilat, da povzame headerje za novi kernel.
Aja, še to. gentoo ima IIRC po defoltu tako da vedno samo naloži binarne tabele.
To je kao kul, ker naj bi prišparalo čas pri zagonu, česar v praksi nekako ni videt.
Ampak ker je ta informacija binarna, je njena interpretacija odvisna od verzije kernela in verzije iptablesa.
Jaz sem to šutiral in napisal svoj skript, ki za vsako pravilo kliče iptables in ta zgenerira pravilo, ki se doda.
Zgodovina sprememb…
- spremenilo: Brane22 ()
BRBR ::
CentOS
To je mogoče, eden naj bi bil ta od firestarterja (sem mislil v začetku da ta piše zadeve v ip tables in to je to).Zgleda pa, da samo dela svoj skript,ki ga pol iptables bere ?
Nimam pojma kam naj pogledam. Nisem jaz tega kvačkal. Oziroma mi je bilo rečeno da sta bila dva zdaj pa ...
Kernel upgrade ni bil narejen.
Mogoče se ti firewall starta prek dveh skriptov
To je mogoče, eden naj bi bil ta od firestarterja (sem mislil v začetku da ta piše zadeve v ip tables in to je to).Zgleda pa, da samo dela svoj skript,ki ga pol iptables bere ?
Nimam pojma kam naj pogledam. Nisem jaz tega kvačkal. Oziroma mi je bilo rečeno da sta bila dva zdaj pa ...
Kernel upgrade ni bil narejen.
Zgodovina sprememb…
- spremenil: BRBR ()
AndrejO ::
CentOS
Mogoče se ti firewall starta prek dveh skriptov
To je mogoče, eden naj bi bil ta od firestarterja (sem mislil v začetku da ta piše zadeve v ip tables in to je to).Zgleda pa, da samo dela svoj skript,ki ga pol iptables bere ?
Nimam pojma kam naj pogledam. Nisem jaz tega kvačkal. Oziroma mi je bilo rečeno da sta bila dva zdaj pa ...
Kernel upgrade ni bil narejen.
TL;DR: uporabljaj ali iptables ali firestarter. Oboje skupaj ne bo šlo, ker z obojim upravljaš isto funkcijo.
Malo daljša razlaga: Malo zmede s poimenovanji, ampak bo hitro vse jasno.
Netfilter je (recimo temu) podsistem v Linux jedru, znotraj katerega se procesirajo pravila za mrežne paketke.
iptables in ip6tables sta aplikaciji s katerimi se lahko ročno vzdržuje pravila v jedru. Hkrati pa se ti imeni velikokrat uporablja kot sinonima za to, kar v jedru dela netfilter.
Firestarter je aplikacija, ki ravno tako vzdržuje pravila v jedru.
"iptables" kot sistemski servis (service iptables ...) pa je na RedHat družini distribucij enostavna skripta (preberi si jo za vajo iz programiranja v bash), ki naloži (funkcija start) pravila iz /etc/sysconfig/iptables in /etc/sysconfig/ip6tables v jedro z uporabo iptables in ip6tables aplikacij. Ukaz "stop" vsa pravila izbriše in dovoli ves promet, potem pa imaš še ukaz s katerim trenutna pravila iz jedra shraniš v ti dve datoteki.
Če želiš uporabljati sistemski servis "iptables", potem imaš na voljo sysytem-config-firewall (ali pa system-config-firewall-tui za delo na konzoli), kjer vpišeš osnovne podatke s pomočjo katerih se zgenerira ustrezna pravila, ki se shranijo v ustrezno datoteko, od koder jih uporablja sistemski servis "iptables".
Varianta B (hardcore) pa je, da sam iz ukazne vrstice nastaviš pravila, kot ti ustrezajo, potem pa poženeš "service iptables save", da se tako nastavljeno stanje shrani.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | block ip, linux, centosOddelek: Informacijska varnost | 817 (739) | BRBR |
| » | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2283 (2105) | SasoS |
| » | SIOL TV dela samo 5 minut (IGMP snooping)Oddelek: Omrežja in internet | 2713 (2449) | bulekk |
| » | iptablesOddelek: Omrežja in internet | 1510 (1425) | kihc |
| » | DEBIAN problemOddelek: Omrežja in internet | 1860 (1670) | AirBladE |