» »

iptables restart

iptables restart

BRBR ::

Restart računalnika, vse OK, vsi načrtovani porti odprti.

zagnan je firestarter

service iptables restart

In potem ni noben port razen porta 80 odprt. (imam odprto sejo z nxclient in to dela dokler seje ne zaprem)

To je zdaj moj občutek zakaj se to zgodi, restart iptables, brez vsakih sprememb v tabelah. Nisem pa preprićan da je to to.

Kakšna misel ?

Bakunin ::

iptables -L -vn
iptables -L -t nat -vn

BRBR ::

root@localhost ~]# iptables -L -vn
Chain INPUT (policy DROP 3 packets, 120 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       staticip.12          0.0.0.0/0           tcp flags:!0x17/0x02
 141K   31M ACCEPT     udp  --  *      *       staticip.12          0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       91.223.182.11        0.0.0.0/0           tcp flags:!0x17/0x02
  140 10207 ACCEPT     udp  --  *      *       91.223.182.11        0.0.0.0/0
3645K 3948M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    9   600 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/sec burst 5
 1349  166K DROP       all  --  eth0   *       0.0.0.0/0            255.255.255.255
98239 7941K DROP       all  --  *      *       0.0.0.0/0            staticip.255
    0     0 DROP       all  --  *      *       224.0.0.0/8          0.0.0.0/0
    4   112 DROP       all  --  *      *       0.0.0.0/0            224.0.0.0/8
    0     0 DROP       all  --  *      *       255.255.255.255      0.0.0.0/0
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0
  462 18628 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
    0     0 LSI        all  -f  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5
1490K  166M INBOUND    all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Unknown Input'

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/sec burst 5
    0     0 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Unknown Forward'

Chain OUTPUT (policy DROP 14 packets, 11503 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       staticip.58          staticip.12         tcp dpt:53
 141K   10M ACCEPT     udp  --  *      *       staticip.58          staticip.12         udp dpt:53
    0     0 ACCEPT     tcp  --  *      *       staticip.58          91.223.182.11       tcp dpt:53
  145 10443 ACCEPT     udp  --  *      *       staticip.58          91.223.182.11       udp dpt:53
3645K 3948M ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  *      *       224.0.0.0/8          0.0.0.0/0
    0     0 DROP       all  --  *      *       0.0.0.0/0            224.0.0.0/8
    0     0 DROP       all  --  *      *       255.255.255.255      0.0.0.0/0
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0
    2    80 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
1829K 1707M OUTBOUND   all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
    0     0 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Unknown Output'

Chain INBOUND (1 references)
 pkts bytes target     prot opt in     out     source               destination
1353K  159M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  733 55708 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 136K 6687K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:80
   22  1144 ACCEPT     tcp  --  *      *       staticip 01          0.0.0.0/0           tcp dpt:3306
    0     0 ACCEPT     udp  --  *      *       staticip 01          0.0.0.0/0           udp dpt:3306
    3   156 ACCEPT     tcp  --  *      *       staticip 01          0.0.0.0/0           tcp dpts:20:21
    0     0 ACCEPT     udp  --  *      *       staticip 01          0.0.0.0/0           udp dpts:20:21
    0     0 ACCEPT     tcp  --  *      *       192.168.1.2          0.0.0.0/0           tcp dpt:3306
    0     0 ACCEPT     udp  --  *      *       192.168.1.2          0.0.0.0/0           udp dpt:3306
    0     0 ACCEPT     tcp  --  *      *       192.168.1.2          0.0.0.0/0           tcp dpts:20:21
    0     0 ACCEPT     udp  --  *      *       192.168.1.2          0.0.0.0/0           udp dpts:20:21
    1    52 ACCEPT     tcp  --  *      *       staticip 01          0.0.0.0/0           tcp dpt:8899
    0     0 ACCEPT     udp  --  *      *       staticip 01          0.0.0.0/0           udp dpt:8899
  253 19850 LSI        all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain LOG_FILTER (5 references)
 pkts bytes target     prot opt in     out     source               destination

Chain LSI (2 references)
 pkts bytes target     prot opt in     out     source               destination
  253 19850 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  227 11032 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
  227 11032 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
   26  8818 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
   26  8818 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain LSO (25 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 LOG_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Outbound '
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain OUTBOUND (1 references)
 pkts bytes target     prot opt in     out     source               destination
   45  4257 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
1828K 1707M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 LSO        all  --  *      *       0.0.0.0/0            178.58.177.148
    0     0 LSO        all  --  *      *       0.0.0.0/0            86.58.41.145
    0     0 LSO        all  --  *      *       0.0.0.0/0            196.28.43.194
    0     0 LSO        all  --  *      *       0.0.0.0/0            93.87.178.233
    0     0 LSO        all  --  *      *       0.0.0.0/0            88.190.16.36
    0     0 LSO        all  --  *      *       0.0.0.0/0            83.149.44.39
    0     0 LSO        all  --  *      *       0.0.0.0/0            213.143.79.206
    0     0 LSO        all  --  *      *       0.0.0.0/0            87.66.115.146
    0     0 LSO        all  --  *      *       0.0.0.0/0            87.66.115.146
    0     0 LSO        all  --  *      *       0.0.0.0/0            108.16.32.69
    0     0 LSO        all  --  *      *       0.0.0.0/0            174.233.133.130
    0     0 LSO        all  --  *      *       0.0.0.0/0            94.176.125.192
    0     0 LSO        all  --  *      *       0.0.0.0/0            217.65.56.92
    0     0 LSO        all  --  *      *       0.0.0.0/0            46.122.131.139
    0     0 LSO        all  --  *      *       0.0.0.0/0            46.165.197.142
    0     0 LSO        all  --  *      *       0.0.0.0/0            199.58.86.211
    0     0 LSO        all  --  *      *       0.0.0.0/0            70.198.2.221
    0     0 LSO        all  --  *      *       0.0.0.0/0            46.122.186.28
    0     0 LSO        all  --  *      *       0.0.0.0/0            66.54.88.132
    0     0 LSO        all  --  *      *       0.0.0.0/0            193.77.14.161
    0     0 LSO        all  --  *      *       0.0.0.0/0            199.58.86.209
    0     0 LSO        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1806
    0     0 LSO        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1806
    0     0 LSO        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:50585
    0     0 LSO        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:50585
 1043 78869 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

[root@localhost ~]# iptables -L -t nat -vn
Chain PREROUTING (policy ACCEPT 1 packets, 60 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
[root@localhost ~]#

Zgodovina sprememb…

  • spremenil: BRBR ()

Brane22 ::

Nisi napisal nič o distroju. Tako na hitro:

Mogoče se ti firewall starta prek dveh skriptov, vsak s svojimi parametri. Eden je iptables, si ziher da nimaš kje še drugega ( firewall etc) ?

Iptables je vezan na kernel in če narediš kernel upgrade, ga je včasih fajn recompilat, da povzame headerje za novi kernel.

Aja, še to. gentoo ima IIRC po defoltu tako da vedno samo naloži binarne tabele.

To je kao kul, ker naj bi prišparalo čas pri zagonu, česar v praksi nekako ni videt.

Ampak ker je ta informacija binarna, je njena interpretacija odvisna od verzije kernela in verzije iptablesa.

Jaz sem to šutiral in napisal svoj skript, ki za vsako pravilo kliče iptables in ta zgenerira pravilo, ki se doda.

Zgodovina sprememb…

  • spremenilo: Brane22 ()

BRBR ::

CentOS


Mogoče se ti firewall starta prek dveh skriptov


To je mogoče, eden naj bi bil ta od firestarterja (sem mislil v začetku da ta piše zadeve v ip tables in to je to).Zgleda pa, da samo dela svoj skript,ki ga pol iptables bere ?
Nimam pojma kam naj pogledam. Nisem jaz tega kvačkal. Oziroma mi je bilo rečeno da sta bila dva zdaj pa ...

Kernel upgrade ni bil narejen.

Zgodovina sprememb…

  • spremenil: BRBR ()

Bakunin ::

AndrejO ::

BRBR je izjavil:

CentOS


Mogoče se ti firewall starta prek dveh skriptov


To je mogoče, eden naj bi bil ta od firestarterja (sem mislil v začetku da ta piše zadeve v ip tables in to je to).Zgleda pa, da samo dela svoj skript,ki ga pol iptables bere ?
Nimam pojma kam naj pogledam. Nisem jaz tega kvačkal. Oziroma mi je bilo rečeno da sta bila dva zdaj pa ...

Kernel upgrade ni bil narejen.

TL;DR: uporabljaj ali iptables ali firestarter. Oboje skupaj ne bo šlo, ker z obojim upravljaš isto funkcijo.

Malo daljša razlaga: Malo zmede s poimenovanji, ampak bo hitro vse jasno.

Netfilter je (recimo temu) podsistem v Linux jedru, znotraj katerega se procesirajo pravila za mrežne paketke.

iptables in ip6tables sta aplikaciji s katerimi se lahko ročno vzdržuje pravila v jedru. Hkrati pa se ti imeni velikokrat uporablja kot sinonima za to, kar v jedru dela netfilter.

Firestarter je aplikacija, ki ravno tako vzdržuje pravila v jedru.

"iptables" kot sistemski servis (service iptables ...) pa je na RedHat družini distribucij enostavna skripta (preberi si jo za vajo iz programiranja v bash), ki naloži (funkcija start) pravila iz /etc/sysconfig/iptables in /etc/sysconfig/ip6tables v jedro z uporabo iptables in ip6tables aplikacij. Ukaz "stop" vsa pravila izbriše in dovoli ves promet, potem pa imaš še ukaz s katerim trenutna pravila iz jedra shraniš v ti dve datoteki.

Če želiš uporabljati sistemski servis "iptables", potem imaš na voljo sysytem-config-firewall (ali pa system-config-firewall-tui za delo na konzoli), kjer vpišeš osnovne podatke s pomočjo katerih se zgenerira ustrezna pravila, ki se shranijo v ustrezno datoteko, od koder jih uporablja sistemski servis "iptables".

Varianta B (hardcore) pa je, da sam iz ukazne vrstice nastaviš pravila, kot ti ustrezajo, potem pa poženeš "service iptables save", da se tako nastavljeno stanje shrani.

BRBR ::

Vsem hvala za inf.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

block ip, linux, centos

Oddelek: Informacijska varnost
8741 (663) BRBR
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema
252057 (1879) SasoS
»

SIOL TV dela samo 5 minut (IGMP snooping)

Oddelek: Omrežja in internet
112553 (2289) bulekk
»

iptables

Oddelek: Omrežja in internet
61396 (1311) kihc
»

DEBIAN problem

Oddelek: Omrežja in internet
161688 (1498) AirBladE

Več podobnih tem