* [Sysadmins] iptables не открывает порты
@ 2007-03-06 12:37 Andrey Kuleshov
2007-03-06 12:58 ` Avramenko Andrew
` (3 more replies)
0 siblings, 4 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-06 12:37 UTC (permalink / raw)
To: sysadmins
Здравствуйте!
Огреб совершенно странные грабли: не работает файрвол. Видимые
проявления: после запуска инит скритпа все порты оказываются наглухо
закрытыми. Инициализационный скрипт был проверен и обкатан в течении
неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
нужным образом. #service iptables stop приводит открытые порты в видимое
состояние. Загрузка всех модулей, возможно относящихся к netfilter,
эффекта не дала. На тестовой системе ситуация не воспроизводится, там
все работает совершенно нормально и обычно.
Подскажите, плз, как растормозиться.
И еще: как убедиться, что работает автозагрузка модулей и все
необходимые библиотеки на месте и доступны?
Спасибо!
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread* Re: [Sysadmins] iptables не открывает порты 2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov @ 2007-03-06 12:58 ` Avramenko Andrew 2007-03-06 13:09 ` Andrey Kuleshov 2007-03-07 9:29 ` Andrey Kuleshov ` (2 subsequent siblings) 3 siblings, 1 reply; 22+ messages in thread From: Avramenko Andrew @ 2007-03-06 12:58 UTC (permalink / raw) To: ALT Linux sysadmin discuss Andrey Kuleshov пишет: > Здравствуйте! > > Огреб совершенно странные грабли: не работает файрвол. Видимые > проявления: после запуска инит скритпа все порты оказываются наглухо > закрытыми. Инициализационный скрипт был проверен и обкатан в течении > неск. лет, никаких проблем до последнего раза. #iptables -L выглядит > нужным образом. #service iptables stop приводит открытые порты в видимое > состояние. Загрузка всех модулей, возможно относящихся к netfilter, > эффекта не дала. На тестовой системе ситуация не воспроизводится, там > все работает совершенно нормально и обычно. > Подскажите, плз, как растормозиться. > И еще: как убедиться, что работает автозагрузка модулей и все > необходимые библиотеки на месте и доступны? > > Спасибо! > А без правил фаервола разве можно ответить на вопрос? :) ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-06 12:58 ` Avramenko Andrew @ 2007-03-06 13:09 ` Andrey Kuleshov 0 siblings, 0 replies; 22+ messages in thread From: Andrey Kuleshov @ 2007-03-06 13:09 UTC (permalink / raw) To: ALT Linux sysadmin discuss Avramenko Andrew wrote: > Andrey Kuleshov пишет: > >> Здравствуйте! >> >> Огреб совершенно странные грабли: не работает файрвол. Видимые >> проявления: после запуска инит скритпа все порты оказываются наглухо >> закрытыми. Инициализационный скрипт был проверен и обкатан в течении >> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит >> нужным образом. #service iptables stop приводит открытые порты в видимое >> состояние. Загрузка всех модулей, возможно относящихся к netfilter, >> эффекта не дала. На тестовой системе ситуация не воспроизводится, там >> все работает совершенно нормально и обычно. >> Подскажите, плз, как растормозиться. >> И еще: как убедиться, что работает автозагрузка модулей и все >> необходимые библиотеки на месте и доступны? >> >> Спасибо! >> >> > А без правил фаервола разве можно ответить на вопрос? :) > Видимо, наивно думаю, что да >Инициализационный скрипт был проверен и обкатан в течении >неск. лет, никаких проблем до последнего раза. #iptables -L выглядит >нужным образом. #service iptables stop приводит открытые порты в видимое >состояние. Загрузка всех модулей, возможно относящихся к netfilter, >эффекта не дала. На тестовой системе ситуация не воспроизводится, там >все работает совершенно нормально и обычно. -- AK1041-UANIC ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov 2007-03-06 12:58 ` Avramenko Andrew @ 2007-03-07 9:29 ` Andrey Kuleshov 2007-03-07 9:36 ` Avramenko Andrew ` (4 more replies) 2007-03-12 13:52 ` Andrii Dobrovol`s`kii 2007-03-12 17:20 ` Andrey Kuleshov 3 siblings, 5 replies; 22+ messages in thread From: Andrey Kuleshov @ 2007-03-07 9:29 UTC (permalink / raw) To: ALT Linux sysadmin discuss Andrey Kuleshov wrote: > Здравствуйте! > > Огреб совершенно странные грабли: не работает файрвол. Видимые > проявления: после запуска инит скритпа все порты оказываются наглухо > закрытыми. Инициализационный скрипт был проверен и обкатан в течении > неск. лет, никаких проблем до последнего раза. #iptables -L выглядит > нужным образом. #service iptables stop приводит открытые порты в видимое > состояние. Загрузка всех модулей, возможно относящихся к netfilter, > эффекта не дала. На тестовой системе ситуация не воспроизводится, там > все работает совершенно нормально и обычно. > Подскажите, плз, как растормозиться. > И еще: как убедиться, что работает автозагрузка модулей и все > необходимые библиотеки на месте и доступны? > > Спасибо! > Судя по обилию ответов рекомендация одна: reinstall Linux! Спасибо за участие! -- AK1041-UANIC ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-07 9:29 ` Andrey Kuleshov @ 2007-03-07 9:36 ` Avramenko Andrew 2007-03-07 9:37 ` Dmitriy L. Kruglikov ` (3 subsequent siblings) 4 siblings, 0 replies; 22+ messages in thread From: Avramenko Andrew @ 2007-03-07 9:36 UTC (permalink / raw) To: ALT Linux sysadmin discuss > Судя по обилию ответов рекомендация одна: reinstall Linux! > > Спасибо за участие! Я тонко намекал на то, что надо бы выложить правила фаервола, чтобы было над чем думать ;) ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-07 9:29 ` Andrey Kuleshov 2007-03-07 9:36 ` Avramenko Andrew @ 2007-03-07 9:37 ` Dmitriy L. Kruglikov 2007-03-07 9:37 ` Eugene Ostapets ` (2 subsequent siblings) 4 siblings, 0 replies; 22+ messages in thread From: Dmitriy L. Kruglikov @ 2007-03-07 9:37 UTC (permalink / raw) To: ALT Linux sysadmin discuss На календаре было: Среда, 07 Март 2007 года, Andrey Kuleshov писал(а) в сообщении: AK == Andrey Kuleshov AK> Судя по обилию ответов Хочешь получить правильный ответ, задай правильный вопрос... У тебя ж просили правила... И где они ? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- >Но что касается лицензии, то GPL - это один большой глюк. Надеюсь, >оно ненадолго... Надейся, надейся, надежда умрёт сразу после тебя, а GPL останется. -- Harzah (linux.org.ru) ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-07 9:29 ` Andrey Kuleshov 2007-03-07 9:36 ` Avramenko Andrew 2007-03-07 9:37 ` Dmitriy L. Kruglikov @ 2007-03-07 9:37 ` Eugene Ostapets 2007-03-09 13:40 ` Вадим Илларионов 2007-03-12 9:46 ` Andrey Kuleshov 4 siblings, 0 replies; 22+ messages in thread From: Eugene Ostapets @ 2007-03-07 9:37 UTC (permalink / raw) To: ALT Linux sysadmin discuss 07.03.07, Andrey Kuleshov<drew bumer.com.ua> написал(а): > Andrey Kuleshov wrote: > Судя по обилию ответов рекомендация одна: reinstall Linux! > > Спасибо за участие! Судя по обилию эмоций рекомендация одна... :) Выпить пиво и вдумчиво проанализировать ситуацию... Загрузка модулей может повлиять на работу отдельных цепочек, но не на открытость портов в целом. Посмотри внимательно на iptables-save > /tmp/firewall -- С уважением, Евгений Остапец uin: 23747217 jid: eugene_ostapets@jabber.ru ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-07 9:29 ` Andrey Kuleshov ` (2 preceding siblings ...) 2007-03-07 9:37 ` Eugene Ostapets @ 2007-03-09 13:40 ` Вадим Илларионов 2007-03-12 9:46 ` Andrey Kuleshov 4 siblings, 0 replies; 22+ messages in thread From: Вадим Илларионов @ 2007-03-09 13:40 UTC (permalink / raw) To: sysadmins От Andrey Kuleshov поступило следующее: > Andrey Kuleshov wrote: >> Здравствуйте! >> >> Огреб совершенно странные грабли: не работает файрвол. Видимые >> проявления: после запуска инит скритпа все порты оказываются наглухо >> закрытыми. Инициализационный скрипт был проверен и обкатан в течении >> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит >> нужным образом. #service iptables stop приводит открытые порты в видимое >> состояние. Загрузка всех модулей, возможно относящихся к netfilter, >> эффекта не дала. На тестовой системе ситуация не воспроизводится, там >> все работает совершенно нормально и обычно. >> Подскажите, плз, как растормозиться. >> И еще: как убедиться, что работает автозагрузка модулей и все >> необходимые библиотеки на месте и доступны? >> >> Спасибо! >> > Судя по обилию ответов рекомендация одна: reinstall Linux! Ну, ежели ваши правила фаервола проходят под грифом "Особой важности", тогда дерзайте. Я б даже порекомендовал дезынсталлировать - во избежание. > Спасибо за участие! Вами даже миллиметра для манёвра не было предоставлено. Так что - на здоровье! ________________________ С уважением, Вадим Илларионов системный администратор Усолье-Сибирский почтамт JID: см. <mailto:> UIN: 7899517 Телефоны: Мобильный +7 904 658-4154 Рабочий +7 39543 444-00 ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-07 9:29 ` Andrey Kuleshov ` (3 preceding siblings ...) 2007-03-09 13:40 ` Вадим Илларионов @ 2007-03-12 9:46 ` Andrey Kuleshov 2007-03-12 10:00 ` Dmitriy L. Kruglikov 2007-03-12 10:17 ` Marat Khayrullin 4 siblings, 2 replies; 22+ messages in thread From: Andrey Kuleshov @ 2007-03-12 9:46 UTC (permalink / raw) To: ALT Linux sysadmin discuss Andrey Kuleshov wrote: > Andrey Kuleshov wrote: > > Судя по обилию ответов рекомендация одна: reinstall Linux! > > Спасибо за участие! > Судя по реакции сообщества я-таки был неправ. Ок. Приношу извинения. Если еще остались желающие </opt/scripts/rc.firewall #вызывается из /etc/rc.local> #!/bin/sh -x IPTABLES="/sbin/iptables" ANYWHERE="any/0" UNPRIVPORTS="1025:65535" LO_IFACE="lo" LO_IP="127.0.0.1" LO_MASK="/0.0.0.255" LO_NET=$LO_IP$LO_MASK EXT_IFACE="eth1" EXT_IP="192.168.1.2" EXT_BASE="192.168.1.0" EXT_MASK="/24" EXT_NET=$EXT_BASE$EXT_MASK INT_IFACE="eth0" INT_IP="192.168.2.1" INT_BASE="192.168.2.0" INT_MASK="/24" INT_NET=$INT_BASE$INT_MASK echo 0 >/proc/sys/net/ipv4/ip_forward service iptables stop $IPTABLES -F $IPTABLES -Z $IPTABLES -X $IPTABLES -t filter -N INT_IN $IPTABLES -t filter -N INT_OUT $IPTABLES -t filter -N PUB_IN $IPTABLES -t filter -N PUB_OUT $IPTABLES -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -t filter -A INPUT -d $LO_NET -i ! $LO_IFACE -p tcp -j DROP $IPTABLES -t filter -A INPUT -i $LO_IFACE -j ACCEPT $IPTABLES -t filter -A INPUT -p icmp --icmp-type 8 -j ACCEPT # ping $IPTABLES -t filter -A INPUT -p all -s ! $INT_NET -j PUB_IN $IPTABLES -t filter -A INPUT -p all -i $INT_IFACE -d $INT_NET -j INT_IN $IPTABLES -t filter -P INPUT DROP $IPTABLES -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -t filter -A FORWARD -p udp -s $INT_NET --dport 123 -j ACCEPT # ntp $IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 443 -j ACCEPT # https # ftp session $IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 21 -j ACCEPT $IPTABLES -t filter -A FORWARD -p tcp -d $INT_NET --sport 21 \ -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # ftp active mode $IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 20 -j ACCEPT $IPTABLES -t filter -A FORWARD -p tcp -d $INT_NET --sport 20 \ -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # ftp passive mode $IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --sport $UNPRIVPORTS \ -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t filter -A FORWARD -p tcp -d $INT_NET --dport $UNPRIVPORTS \ -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 5190 -j ACCEPT # ICQ $IPTABLES -t filter -P FORWARD DROP $IPTABLES -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -t filter -A OUTPUT -p all -o $LO_IFACE -j ACCEPT $IPTABLES -t filter -A OUTPUT -p all -o $EXT_IFACE -j PUB_OUT $IPTABLES -t filter -A OUTPUT -p all -o $INT_IFACE -j INT_OUT $IPTABLES -t filter -A OUTPUT -j DROP $IPTABLES -t filter -P OUTPUT ACCEPT $IPTABLES -t filter -A INT_IN -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -t filter -A INT_IN -p udp --dport 53 -j ACCEPT #DNS $IPTABLES -t filter -A INT_IN -p tcp --dport 3128 -j ACCEPT # SQUID $IPTABLES -t filter -A INT_IN -p tcp --dport 20 -j ACCEPT # FTP control $IPTABLES -t filter -A INT_IN -p tcp --dport 21 -j ACCEPT # FTP data $IPTABLES -t filter -A INT_IN -p tcp --dport 22 -j ACCEPT # ssh $IPTABLES -t filter -A INT_IN -p tcp --dport 25 -j ACCEPT # SMTP $IPTABLES -t filter -A INT_IN -p tcp --dport 110 -j ACCEPT # POP3 $IPTABLES -t filter -A INT_IN -p udp -s $INT_NET --dport 123 -j ACCEPT # ntp $IPTABLES -t filter -A INT_IN -p tcp --dport 143 -j ACCEPT # IMAP $IPTABLES -t filter -A INT_IN -p tcp --dport 443 -j ACCEPT # https #$IPTABLES -t filter -A INT_IN -p tcp --dport 465 -j ACCEPT # SMTPs $IPTABLES -t filter -A INT_IN -p tcp --dport 873 -j ACCEPT # rSYNC $IPTABLES -t filter -A INT_IN -p tcp --dport 993 -j ACCEPT # IMAPs $IPTABLES -t filter -A INT_IN -p tcp --dport 995 -j ACCEPT # POP3s $IPTABLES -t filter -A INT_IN -p tcp --dport 1241 -j ACCEPT # nessus $IPTABLES -t filter -A INT_IN -p tcp --dport 2121 -j REJECT # FTP proxy $IPTABLES -t filter -A INT_IN -p tcp --dport 2638 -j ACCEPT # Sybase $IPTABLES -t filter -A INT_IN -p tcp --dport 4025 -j ACCEPT # partimaged $IPTABLES -t filter -A INT_IN -p tcp --dport 53 -j ACCEPT $IPTABLES -t filter -A INT_IN -p tcp --dport 1863 -j ACCEPT # MSN $IPTABLES -t filter -A INT_IN -p tcp --dport 3000 -j ACCEPT # int http $IPTABLES -t filter -A INT_IN -p tcp --dport 5190 -j ACCEPT $IPTABLES -t filter -A INT_IN -p tcp --dport 5900 -j ACCEPT # VNC $IPTABLES -t filter -A INT_IN -p tcp --dport 6000 -j ACCEPT # X $IPTABLES -t filter -A INT_IN -p tcp --sport $UNPRIVPORTS -j ACCEPT # $IPTABLES -t filter -A INT_IN -p icmp --icmp-type 8 -j ACCEPT # ping $IPTABLES -t filter -A INT_IN -p all -j REJECT $IPTABLES -t filter -A INT_OUT -j ACCEPT $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 22 -j ACCEPT $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 25 -j ACCEPT $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 993 -j ACCEPT $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 995 -j ACCEPT $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 23 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 21 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 143 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 110 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 79 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 111 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 512 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 513 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 98 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 22 -m state --state INVALID,NEW \ -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" $IPTABLES -t filter -A PUB_IN -j DROP $IPTABLES -t filter -A PUB_OUT -p icmp -m icmp --icmp-type 3 -j REJECT \ --reject-with icmp-port-unreachable $IPTABLES -t filter -A PUB_OUT -p icmp -m icmp --icmp-type 11 -j REJECT \ --reject-with icmp-port-unreachable $IPTABLES -t filter -A PUB_OUT -p icmp -j ACCEPT $IPTABLES -t filter -A PUB_OUT -j ACCEPT # http $IPTABLES -t nat -A PREROUTING -p tcp -s $INT_NET \ --dport 80 -d $INT_NET -j REDIRECT --to-ports 3000 # local httpd $IPTABLES -t nat -A PREROUTING -p tcp -s $INT_NET \ -m multiport --dport 80,81,82,83,88,777,8000,8001,8002,8080,8081 \ -d ! $INT_NET -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -p udp -s $INT_NET -m multiport \ --dport 80,81,82,83,88,777,8000,8001,8002,8080,8081 \ -d ! $INT_NET -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -p tcp -s $INT_NET -m multiport \ --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888 \ -d ! $INT_NET -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -p udp -s $INT_NET -m multiport \ --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888 \ -d ! $INT_NET -j REDIRECT --to-ports 3128 $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -A POSTROUTING -p all -s $INT_NET -o $EXT_IFACE -j SNAT --to-source $EXT_IP $IPTABLES -t nat -P POSTROUTING ACCEPT $IPTABLES -t nat -P OUTPUT ACCEPT $IPTABLES -t mangle -P PREROUTING ACCEPT $IPTABLES -t mangle -P INPUT ACCEPT $IPTABLES -t mangle -P FORWARD ACCEPT $IPTABLES -t mangle -P OUTPUT ACCEPT $IPTABLES -t mangle -P POSTROUTING ACCEPT echo 1 >/proc/sys/net/ipv4/ip_forward <//opt/scripts/rc.firewall> -- AK1041-UANIC ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 9:46 ` Andrey Kuleshov @ 2007-03-12 10:00 ` Dmitriy L. Kruglikov 2007-03-12 11:25 ` Andrey Kuleshov 2007-03-12 10:17 ` Marat Khayrullin 1 sibling, 1 reply; 22+ messages in thread From: Dmitriy L. Kruglikov @ 2007-03-12 10:00 UTC (permalink / raw) To: ALT Linux sysadmin discuss На календаре было: Понедельник, 12 Март 2007 года, Andrey Kuleshov писал(а) в сообщении: AK == Andrey Kuleshov AK> Судя по реакции сообщества я-таки был неправ. Ок. AK> Приношу извинения. Не безнадежен ;) AK> Если еще остались желающие AK> AK> </opt/scripts/rc.firewall #вызывается из /etc/rc.local> Для начала, у нас есть /etc/sysconfig/iptables, который и является местом размещения настроек. При старте сервиса они читаются именно оттуда. Не перекрываются ли они ? Далее: Попытайтесь переписать свой скрипт без переменных, а явным указанием значений, а потом, построчно, из ненавистной черно-зеленой консоли, каждую строку руками испытайте. Какая-либо и вызовет несварение ... У меня вызывает сомнение "-m conntrack" и им подобные ... Скорее всего, какого-либо модуля не собрано ... На вскидку точно не скажу, уж простите. P.S. Труд вам предстоит титанический... Я бы все это дело чуток попроще организовал... Но нужно сперва задачу осмыслить... P.P.S. Не все, что можно найти на Гугл, удобоваримо... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- У человека для того поставлена голова вверху, чтобы он не ходил вверх ногами. -- Козьма Прутков ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 10:00 ` Dmitriy L. Kruglikov @ 2007-03-12 11:25 ` Andrey Kuleshov 2007-03-12 11:53 ` Dmitriy L. Kruglikov 0 siblings, 1 reply; 22+ messages in thread From: Andrey Kuleshov @ 2007-03-12 11:25 UTC (permalink / raw) To: ALT Linux sysadmin discuss Dmitriy L. Kruglikov wrote: > AK> </opt/scripts/rc.firewall #вызывается из /etc/rc.local> > Для начала, у нас есть /etc/sysconfig/iptables, который и является местом > размещения настроек. > сервис iptables заглушен, он просто не стартует > При старте сервиса они читаются именно оттуда. Не перекрываются ли они ? > свято верю, что не перекрываются: в начале скрипта сервис, если и был запущен, останавливается, таблицы уничтожаются и пересоздаются > Далее: > Попытайтесь переписать свой скрипт без переменных, а явным указанием значений, > а потом, построчно, из ненавистной черно-зеленой консоли, каждую строку руками > испытайте. Какая-либо и вызовет несварение ... > Чем же она вдруг стала ненавистной? По мне, так это самое надежное рабочее окружение А, по большому счету, именно этой идеи мне и нехватало! > У меня вызывает сомнение "-m conntrack" и им подобные ... > Работало. Много лет/много машин... В логах ошибок загрузки чего-либо нет :( > Скорее всего, какого-либо модуля не собрано ... > А как определить соответствие модулей из правил пакетного фильтра и файлов модулей? И каким образом можно отследить проблемы с незагрузкой нужных модулей? > На вскидку точно не скажу, уж простите. > > P.S. Труд вам предстоит титанический... > Да это не проблема. Знать бы что искать... > Я бы все это дело чуток попроще организовал... > Но нужно сперва задачу осмыслить... > > P.P.S. > Не все, что можно найти на Гугл, удобоваримо... > Это да! Но еще раз подчеркну: скрипт взят с работающего компа -- AK1041-UANIC ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 11:25 ` Andrey Kuleshov @ 2007-03-12 11:53 ` Dmitriy L. Kruglikov 2007-03-12 13:23 ` Avramenko Andrew 2007-03-12 17:11 ` Andrey Kuleshov 0 siblings, 2 replies; 22+ messages in thread From: Dmitriy L. Kruglikov @ 2007-03-12 11:53 UTC (permalink / raw) To: ALT Linux sysadmin discuss На календаре было: Понедельник, 12 Март 2007 года, Andrey Kuleshov писал(а) в сообщении: AK == Andrey Kuleshov AK> А, по большому счету, именно этой идеи мне и нехватало! Это скепсис ? Мне такие скрипты сразу кажутся неудобоваримыми ... AK> Работало. Много лет/много машин... Ну, это вообще не показатель ... Разве что, ваши машины клонированы с одного винта и после этого ни кто не обновлялся ... AK> > Скорее всего, какого-либо модуля не собрано ... AK> > AK> А как определить соответствие модулей из правил пакетного фильтра и AK> файлов модулей? Модули живут в /lib/modules/"версия_ядра"/kernel/net/ipv4/netfilter ip_conntrack.ko нужен для " -m conntrack ", например... AK> Да это не проблема. Знать бы что искать... Ищите строку, которая не сработает... AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа А ядра у них одинаковые, модули все есть, версии совпадают ? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Сначала ищешь справедливость, а потом - другое место работы. -- П.С.Таранов ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 11:53 ` Dmitriy L. Kruglikov @ 2007-03-12 13:23 ` Avramenko Andrew 2007-03-12 17:08 ` Andrey Kuleshov 2007-03-12 17:11 ` Andrey Kuleshov 1 sibling, 1 reply; 22+ messages in thread From: Avramenko Andrew @ 2007-03-12 13:23 UTC (permalink / raw) To: ALT Linux sysadmin discuss > AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа У них одинаковые сетевые настройки и положение в сети? :-) ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 13:23 ` Avramenko Andrew @ 2007-03-12 17:08 ` Andrey Kuleshov 0 siblings, 0 replies; 22+ messages in thread From: Andrey Kuleshov @ 2007-03-12 17:08 UTC (permalink / raw) To: ALT Linux sysadmin discuss Avramenko Andrew wrote: >> AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа >> > У них одинаковые сетевые настройки и положение в сети? :-) > С точностью до IP-адресов интерфейсов -- AK1041-UANIC ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 11:53 ` Dmitriy L. Kruglikov 2007-03-12 13:23 ` Avramenko Andrew @ 2007-03-12 17:11 ` Andrey Kuleshov 1 sibling, 0 replies; 22+ messages in thread From: Andrey Kuleshov @ 2007-03-12 17:11 UTC (permalink / raw) To: ALT Linux sysadmin discuss Dmitriy L. Kruglikov wrote: > На календаре было: Понедельник, 12 Март 2007 года, > Andrey Kuleshov писал(а) в сообщении: > > AK == Andrey Kuleshov > > > AK> А, по большому счету, именно этой идеи мне и нехватало! > Это скепсис ? > Вовсе нет! Совершенно серьезно. Собсно, никто не ищет легких путей, было бы понятно куда двигаться. > Мне такие скрипты сразу кажутся неудобоваримыми ... > Может и так, но за весьма продолжительное время не было повода винить скрипты, хотя я не настаиваю. > AK> Работало. Много лет/много машин... > Ну, это вообще не показатель ... > Разве что, ваши машины клонированы с одного винта и после этого > ни кто не обновлялся ... > > AK> > Скорее всего, какого-либо модуля не собрано ... > AK> > > AK> А как определить соответствие модулей из правил пакетного фильтра и > AK> файлов модулей? > Модули живут в > /lib/modules/"версия_ядра"/kernel/net/ipv4/netfilter > ip_conntrack.ko нужен для " -m conntrack ", например... > М..ня.. от незнания куда ткнуться были попытки загрузить _все_ модули из этого каталога... > > AK> Да это не проблема. Знать бы что искать... > Ищите строку, которая не сработает... > Да, я уже понял, что надо все правила полностью переписать. Если не найдется затык, то хоть заново что-то изваяю. > AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа > А ядра у них одинаковые, модули все есть, версии совпадают ? > Вначале я писал, что на тестовой системе ситуация не воспроизводится, а отличие неработающей системы от тестовой только в том, что на неработающей стоит два физических процессора, а на тестовой один двухядерный. Неужели в этом может быть затык?! -- AK1041-UANIC ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 9:46 ` Andrey Kuleshov 2007-03-12 10:00 ` Dmitriy L. Kruglikov @ 2007-03-12 10:17 ` Marat Khayrullin 1 sibling, 0 replies; 22+ messages in thread From: Marat Khayrullin @ 2007-03-12 10:17 UTC (permalink / raw) To: ALT Linux sysadmin discuss Andrey Kuleshov пишет: > LO_IFACE="lo" > LO_IP="127.0.0.1" > LO_MASK="/0.0.0.255" Мне кажется здесь должно быть LO_MASK="/8" > LO_NET=$LO_IP$LO_MASK > ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov 2007-03-06 12:58 ` Avramenko Andrew 2007-03-07 9:29 ` Andrey Kuleshov @ 2007-03-12 13:52 ` Andrii Dobrovol`s`kii 2007-03-12 17:19 ` Andrey Kuleshov 2007-03-12 17:20 ` Andrey Kuleshov 3 siblings, 1 reply; 22+ messages in thread From: Andrii Dobrovol`s`kii @ 2007-03-12 13:52 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 1478 bytes --] Andrey Kuleshov пишет: > Здравствуйте! > > Огреб совершенно странные грабли: не работает файрвол. Видимые > проявления: после запуска инит скритпа все порты оказываются наглухо > закрытыми. Инициализационный скрипт был проверен и обкатан в течении > неск. лет, никаких проблем до последнего раза. #iptables -L выглядит > нужным образом. Нужным это каким? > #service iptables stop приводит открытые порты в видимое > состояние. Только открытые? Кем открытые? > Загрузка всех модулей, возможно относящихся к netfilter, > эффекта не дала. На тестовой системе ситуация не воспроизводится, там > все работает совершенно нормально и обычно. > Подскажите, плз, как растормозиться. Прочесть доку к iptables на предмет просмотра счетчиков. Увидеть куда пакеты попадают реально и сделать выводы. Убедиться, что iptables не запускается дважды с разными настройками. И хранить рабочий набор правил там, где ему отведено место в системе. > И еще: как убедиться, что работает автозагрузка модулей и все > необходимые библиотеки на месте и доступны? > А lsmod не помогает? > Спасибо! > Пожалуйста. -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 13:52 ` Andrii Dobrovol`s`kii @ 2007-03-12 17:19 ` Andrey Kuleshov 2007-03-13 9:29 ` Andrii Dobrovol`s`kii 0 siblings, 1 reply; 22+ messages in thread From: Andrey Kuleshov @ 2007-03-12 17:19 UTC (permalink / raw) To: ALT Linux sysadmin discuss Andrii Dobrovol`s`kii wrote: > Andrey Kuleshov пишет: > >> Здравствуйте! >> >> Огреб совершенно странные грабли: не работает файрвол. Видимые >> проявления: после запуска инит скритпа все порты оказываются наглухо >> закрытыми. Инициализационный скрипт был проверен и обкатан в течении >> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит >> нужным образом. >> > Нужным это каким? > Все таблицы/цепочки на месте >> #service iptables stop приводит открытые порты в видимое >> состояние. >> > Только открытые? Кем открытые? > pop3s, imaps, smtp, squid, httpd, named etc. >> Загрузка всех модулей, возможно относящихся к netfilter, >> эффекта не дала. На тестовой системе ситуация не воспроизводится, там >> все работает совершенно нормально и обычно. >> Подскажите, плз, как растормозиться. >> > Прочесть доку к iptables на предмет просмотра счетчиков. Увидеть > куда пакеты попадают реально и сделать выводы. Вау! Пошел изучать. Видимо это и есть заветное направление > Убедиться, что > iptables не запускается дважды с разными настройками. М... а для _возможного_ первого гипотетического запуска #service iptables stop недостаточно? > И хранить > рабочий набор правил там, где ему отведено место в системе. > >> И еще: как убедиться, что работает автозагрузка модулей и все >> необходимые библиотеки на месте и доступны? >> >> > А lsmod не помогает? > Помогает. Помогает увидеть что уже загружено, но не может дать никакой информации чего не хватает -- AK1041-UANIC ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 17:19 ` Andrey Kuleshov @ 2007-03-13 9:29 ` Andrii Dobrovol`s`kii 0 siblings, 0 replies; 22+ messages in thread From: Andrii Dobrovol`s`kii @ 2007-03-13 9:29 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 2291 bytes --] Andrey Kuleshov пишет: > Andrii Dobrovol`s`kii wrote: >> Andrey Kuleshov пишет: >> >>> Здравствуйте! >>> >>> Огреб совершенно странные грабли: не работает файрвол. Видимые >>> проявления: после запуска инит скритпа все порты оказываются наглухо >>> закрытыми. Инициализационный скрипт был проверен и обкатан в течении >>> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит >>> нужным образом. >>> >> Нужным это каким? >> > Все таблицы/цепочки на месте Это хорошо. >>> #service iptables stop приводит открытые порты в видимое >>> состояние. >>> >> Только открытые? Кем открытые? >> > pop3s, imaps, smtp, squid, httpd, named etc. А, дошло :) , те, что прослушиваются запущенными службами. >>> Загрузка всех модулей, возможно относящихся к netfilter, >>> эффекта не дала. На тестовой системе ситуация не воспроизводится, там >>> все работает совершенно нормально и обычно. >>> Подскажите, плз, как растормозиться. >>> >> Прочесть доку к iptables на предмет просмотра счетчиков. Увидеть >> куда пакеты попадают реально и сделать выводы. > Вау! Пошел изучать. Видимо это и есть заветное направление >> Убедиться, что >> iptables не запускается дважды с разными настройками. > М... а для _возможного_ первого гипотетического запуска > #service iptables stop > недостаточно? Бывает по всякому... Ведь что-то же не работает... Лучше до запуска скрипта самому убедиться, что iptables не активен. >> И хранить >> рабочий набор правил там, где ему отведено место в системе. >> >>> И еще: как убедиться, что работает автозагрузка модулей и все >>> необходимые библиотеки на месте и доступны? >>> >>> >> А lsmod не помогает? >> > Помогает. Помогает увидеть что уже загружено, но не может дать никакой > информации чего не хватает > Это да. Что нужно загружать помогает понять документация... ;) Ну и коллеги при прямых вопросах... -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov ` (2 preceding siblings ...) 2007-03-12 13:52 ` Andrii Dobrovol`s`kii @ 2007-03-12 17:20 ` Andrey Kuleshov 2007-03-13 6:34 ` Dmitriy L. Kruglikov 3 siblings, 1 reply; 22+ messages in thread From: Andrey Kuleshov @ 2007-03-12 17:20 UTC (permalink / raw) To: ALT Linux sysadmin discuss Здравствуйте! Похоже, тема исчерпана, направления изысканий понятны. Закрываем обсуждение. Спасибо всем! -- AK1041-UANIC ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-12 17:20 ` Andrey Kuleshov @ 2007-03-13 6:34 ` Dmitriy L. Kruglikov 2007-03-13 11:42 ` Andrey Kuleshov 0 siblings, 1 reply; 22+ messages in thread From: Dmitriy L. Kruglikov @ 2007-03-13 6:34 UTC (permalink / raw) To: ALT Linux sysadmin discuss На календаре было: Понедельник, 12 Март 2007 года, Andrey Kuleshov писал(а) в сообщении: AK == Andrey Kuleshov AK> Похоже, тема исчерпана, направления изысканий понятны. AK> Закрываем обсуждение. Э, нет .... По результатам изысканий, будь добр, отчитайся... Дабы на грабельку не наступил идущий следом :) Или отвечающий имел возможность давать более толковые советы. Ну и просто ж интересно... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_gmail_dot_com |@_@ | DKR6-RIPE |!_/ | XMPP:dkr6@jabber.ru // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Прекрасна молодость, когда она в движении и знает, куда приложить свои силы. -- Менандр ^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты 2007-03-13 6:34 ` Dmitriy L. Kruglikov @ 2007-03-13 11:42 ` Andrey Kuleshov 0 siblings, 0 replies; 22+ messages in thread From: Andrey Kuleshov @ 2007-03-13 11:42 UTC (permalink / raw) To: ALT Linux sysadmin discuss Dmitriy L. Kruglikov wrote: > На календаре было: Понедельник, 12 Март 2007 года, > Andrey Kuleshov писал(а) в сообщении: > > AK == Andrey Kuleshov > > AK> Похоже, тема исчерпана, направления изысканий понятны. > AK> Закрываем обсуждение. > Э, нет .... > По результатам изысканий, будь добр, отчитайся... > Ага. Как только удастся все это незаметно сладить: по иронии Судьбы заклинившая система находится на площадке заказчика, на глазах которого нет ни возможности, ни времени экспериментировать. Так что это совсем нескоро. Из исследованного: не работает таблица filter, PREROUTING и REDIRECT в nat включаются/выключаются по пока неизвестным законам. > Дабы на грабельку не наступил идущий следом :) > Гг. Так тут приговор уже известен: не пользуйтесь моим скриптом. > Или отвечающий имел возможность давать более толковые советы. > > Ну и просто ж интересно... > Ой, а как мне было интересно!... -- AK1041-UANIC ^ permalink raw reply [flat|nested] 22+ messages in thread
end of thread, other threads:[~2007-03-13 11:42 UTC | newest] Thread overview: 22+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov 2007-03-06 12:58 ` Avramenko Andrew 2007-03-06 13:09 ` Andrey Kuleshov 2007-03-07 9:29 ` Andrey Kuleshov 2007-03-07 9:36 ` Avramenko Andrew 2007-03-07 9:37 ` Dmitriy L. Kruglikov 2007-03-07 9:37 ` Eugene Ostapets 2007-03-09 13:40 ` Вадим Илларионов 2007-03-12 9:46 ` Andrey Kuleshov 2007-03-12 10:00 ` Dmitriy L. Kruglikov 2007-03-12 11:25 ` Andrey Kuleshov 2007-03-12 11:53 ` Dmitriy L. Kruglikov 2007-03-12 13:23 ` Avramenko Andrew 2007-03-12 17:08 ` Andrey Kuleshov 2007-03-12 17:11 ` Andrey Kuleshov 2007-03-12 10:17 ` Marat Khayrullin 2007-03-12 13:52 ` Andrii Dobrovol`s`kii 2007-03-12 17:19 ` Andrey Kuleshov 2007-03-13 9:29 ` Andrii Dobrovol`s`kii 2007-03-12 17:20 ` Andrey Kuleshov 2007-03-13 6:34 ` Dmitriy L. Kruglikov 2007-03-13 11:42 ` Andrey Kuleshov
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git