înregistrare Logare
Puncte:1
Ahmed Suror avatar Server

Nu s-a pornit firewall IPv4 cu iptables

drapel uz
Ahmed Suror

Eu alerg CentOS 8 Webserver și recent am avut câteva probleme cu CSF Firewall, cel LCR Serviciul rulează, dar LFD este eșuată.

Am făcut câteva cercetări și am reușit să-l rezolv făcând iptables --flush (Totuși, nu sunt sigur că a fost problema!).

Cu toate acestea, se pare că există o problemă cu iptables service, când îl pornesc primesc această eroare:

iptables.service - firewall IPv4 cu iptables
   Încărcat: încărcat (/usr/lib/systemd/system/iptables.service; activat; prestabilit furnizor: dezactivat)
   Activ: eșuat (Rezultat: cod de ieșire) din Mar 2021-06-22 23:46:44 EET; acum 13 minute
  Proces: 11362 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=1/FAILURE)
 PID principal: 11362 (cod=ieșit, stare=1/Eșec)

22 iunie 23:46:44 server.ahmedsuror.com systemd[1]: Se pornește paravanul de protecție IPv4 cu iptables...
22 iunie 23:46:44 server.ahmedsuror.com iptables.init[11362]: iptables: Aplicarea regulilor firewall: iptables-restore v1.8.4 (nf_tables): Lanțul „INVDROP” nu există
22 iunie 23:46:44 server.ahmedsuror.com iptables.init[11362]: A apărut o eroare la linia: 5
22 iunie 23:46:44 server.ahmedsuror.com iptables.init[11362]: Încercați „iptables-restore -h” sau „iptables-restore --help” pentru mai multe informații.
22 iunie 23:46:44 server.ahmedsuror.com iptables.init[11362]: [FAILED]
22 iunie 23:46:44 server.ahmedsuror.com systemd[1]: iptables.service: Proces principal ieșit, cod=ieșit, stare=1/Eșec
22 iunie 23:46:44 server.ahmedsuror.com systemd[1]: iptables.service: a eșuat cu rezultatul „exit-code”.
22 iunie 23:46:44 server.ahmedsuror.com systemd[1]: Nu s-a pornit firewall IPv4 cu iptables.
Avertisment: Jurnalul a fost rotit de la pornirea unității. Ieșirea jurnalului este incompletă sau indisponibilă.

Am revizuit /etc/sysconfig/iptables dosar și se pare că INVDROP lanțul este problema, dar după o lungă cercetare am descoperit că acest lanț este creat și gestionat de LCR.

Care este problema și dacă LCR și LFD functioneaza corect ar trebui sa ma deranjez?

De asemenea, am testat iptables folosind scriptul Perl la /etc/csf/csftest.pl si toate sunt ok:

[root@server csf]# perl csftest.pl
Se testează ip_tables/iptable_filter...OK
Se testează ipt_LOG...OK
Se testează ipt_multiport/xt_multiport...OK
Se testează ipt_REJECT...OK
Se testează ipt_state/xt_state...OK
Se testează ipt_limit/xt_limit...OK
Se testează ipt_recent...OK
Se testează xt_connlimit...OK
Se testează ipt_owner/xt_owner...OK
Se testează iptable_nat/ipt_REDIRECT...OK
Se testează iptable_nat/ipt_DNAT...OK

REZULTAT: csf ar trebui să funcționeze pe acest server

Orice ajutor este foarte apreciat...

511
0 + 10
csf
lfd
A.B avatar
drapel cl
A.B
Nu ajută la întrebare, doar o dezgustă, dar oricum, se pare că acest generator de reguli generează o mulțime de reguli inutile.--ctstate INVALID verifică deja combo-urile TCP nevalide: https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/tree/net/netfilter/nf_conntrack_proto_tcp.c?h= v4.18#n729 . Respinge 23 din 32 de combinații ale FIN|SYN|RST|ACK|URG . Nu văd aici 23 de reguli INVDROP (și cea ctstate NEW are un comutator special: `sysctl net.netfilter.nf_conntrack_tcp_loose`)
0
Răspunde
Ahmed Suror avatar
drapel uz
Ahmed Suror
` Nu văd aici 23 de reguli INVDROP` Fișierul este trunchiat din cauza limitelor pastbin.com de 512 KB pentru utilizatorii gratuiti și da, există multe reguli INVDROP prin fișierul poate fi 23, nu am numărat!
0
Răspunde
A.B avatar
drapel cl
A.B
Se pare că fișierului îi lipsesc părți importante... conntrack nu ar trebui să fie văzut în tabelul brut. Așa că lipsește o secțiune de mangle sau de filtru.
0
Răspunde
Ahmed Suror avatar
drapel uz
Ahmed Suror
Fișierul nu a fost editat manual, este posibil să fi fost editat de CSF când am făcut o repornire, de asemenea, am făcut `iptables-save` și este același rezultat cu un avertisment spune: "# Avertisment: tabele iptables-legacy prezente, utilizați iptables-legacy-save pentru a le vedea"
0
Răspunde
Ahmed Suror avatar
drapel uz
Ahmed Suror
De asemenea, fișierul de salvare este oarecum diferit (nu total) uita-te la filtru: https://pastebin.com/dJGsF0KG
0
Răspunde
Ahmed Suror avatar
drapel uz
Ahmed Suror
`dar nicio linie care să înceapă cu :INVDROP` sunt linii începute cu el la filtru
0
Răspunde
A.B avatar
drapel cl
A.B
Aș crede că nu ar trebui să utilizați deloc serviciul iptables și să lăsați csf să gestioneze lucrurile. Dar ar fi bine să așteptați pe cineva care știe despre csf, eu nu.
0
Răspunde
Ahmed Suror avatar
drapel uz
Ahmed Suror
Sunt de acord, se pare că CSF se ocupă de asta și dovada este că testarea iptable a avut succes, de asemenea, se pare că CSF folosește `nft netfilter` care înlocuiește vechiul `iptables`. Oricum, apreciez foarte mult ajutorul tau, multumesc mult.
0
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
Încercați să utilizați csf/lfd sau scripturile iptables de sistem vechi? Acestea nu sunt compatibile și nu pot fi rulate simultan.
0
Răspunde
Ahmed Suror avatar
drapel uz
Ahmed Suror
@MichaelHampton Folosesc **CSF/LFD**, dar oricum iptables ar trebui să pornească normal, mă întreb cum spui: „`Acestea nu sunt compatibile și nu pot fi rulate simultan`”! Știu că CSF sau FirewallD sunt într-un fel ca un instrument GUI folosit pentru a face față iptables... Am rezolvat problema făcând fișierul iptables gol, cu toate acestea, nu sunt sigur că este cea mai bună soluție.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.