ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] iptables не открывает порты
@ 2007-03-06 12:37 Andrey Kuleshov
  2007-03-06 12:58 ` Avramenko Andrew
                   ` (3 more replies)
  0 siblings, 4 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-06 12:37 UTC (permalink / raw)
  To: sysadmins

Здравствуйте!

Огреб совершенно странные грабли: не работает файрвол. Видимые
проявления: после запуска инит скритпа все порты оказываются наглухо
закрытыми. Инициализационный скрипт был проверен и обкатан в течении
неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
нужным образом. #service iptables stop приводит открытые порты в видимое
состояние. Загрузка всех модулей, возможно относящихся к netfilter,
эффекта не дала. На тестовой системе ситуация не воспроизводится, там
все работает совершенно нормально и обычно.
Подскажите, плз, как растормозиться.
И еще: как убедиться, что работает автозагрузка модулей и все
необходимые библиотеки на месте и доступны?

Спасибо!

-- 

 AK1041-UANIC
 


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
@ 2007-03-06 12:58 ` Avramenko Andrew
  2007-03-06 13:09   ` Andrey Kuleshov
  2007-03-07  9:29 ` Andrey Kuleshov
                   ` (2 subsequent siblings)
  3 siblings, 1 reply; 22+ messages in thread
From: Avramenko Andrew @ 2007-03-06 12:58 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Andrey Kuleshov пишет:
> Здравствуйте!
> 
> Огреб совершенно странные грабли: не работает файрвол. Видимые
> проявления: после запуска инит скритпа все порты оказываются наглухо
> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
> нужным образом. #service iptables stop приводит открытые порты в видимое
> состояние. Загрузка всех модулей, возможно относящихся к netfilter,
> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
> все работает совершенно нормально и обычно.
> Подскажите, плз, как растормозиться.
> И еще: как убедиться, что работает автозагрузка модулей и все
> необходимые библиотеки на месте и доступны?
> 
> Спасибо!
> 
А без правил фаервола разве можно ответить на вопрос? :)



^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-06 12:58 ` Avramenko Andrew
@ 2007-03-06 13:09   ` Andrey Kuleshov
  0 siblings, 0 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-06 13:09 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Avramenko Andrew wrote:
> Andrey Kuleshov пишет:
>   
>> Здравствуйте!
>>
>> Огреб совершенно странные грабли: не работает файрвол. Видимые
>> проявления: после запуска инит скритпа все порты оказываются наглухо
>> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
>> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>> нужным образом. #service iptables stop приводит открытые порты в видимое
>> состояние. Загрузка всех модулей, возможно относящихся к netfilter,
>> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>> все работает совершенно нормально и обычно.
>> Подскажите, плз, как растормозиться.
>> И еще: как убедиться, что работает автозагрузка модулей и все
>> необходимые библиотеки на месте и доступны?
>>
>> Спасибо!
>>
>>     
> А без правил фаервола разве можно ответить на вопрос? :)
>   
Видимо, наивно думаю, что да

>Инициализационный скрипт был проверен и обкатан в течении
>неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>нужным образом. #service iptables stop приводит открытые порты в видимое
>состояние. Загрузка всех модулей, возможно относящихся к netfilter,
>эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>все работает совершенно нормально и обычно.



-- 

 AK1041-UANIC
 


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
  2007-03-06 12:58 ` Avramenko Andrew
@ 2007-03-07  9:29 ` Andrey Kuleshov
  2007-03-07  9:36   ` Avramenko Andrew
                     ` (4 more replies)
  2007-03-12 13:52 ` Andrii Dobrovol`s`kii
  2007-03-12 17:20 ` Andrey Kuleshov
  3 siblings, 5 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-07  9:29 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Andrey Kuleshov wrote:
> Здравствуйте!
>
> Огреб совершенно странные грабли: не работает файрвол. Видимые
> проявления: после запуска инит скритпа все порты оказываются наглухо
> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
> нужным образом. #service iptables stop приводит открытые порты в видимое
> состояние. Загрузка всех модулей, возможно относящихся к netfilter,
> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
> все работает совершенно нормально и обычно.
> Подскажите, плз, как растормозиться.
> И еще: как убедиться, что работает автозагрузка модулей и все
> необходимые библиотеки на месте и доступны?
>
> Спасибо!
>   
Судя по обилию ответов рекомендация одна: reinstall Linux!

Спасибо за участие!

-- 

 AK1041-UANIC
 


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-07  9:29 ` Andrey Kuleshov
@ 2007-03-07  9:36   ` Avramenko Andrew
  2007-03-07  9:37   ` Dmitriy L. Kruglikov
                     ` (3 subsequent siblings)
  4 siblings, 0 replies; 22+ messages in thread
From: Avramenko Andrew @ 2007-03-07  9:36 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss


> Судя по обилию ответов рекомендация одна: reinstall Linux!
> 
> Спасибо за участие!

Я тонко намекал на то, что надо бы выложить правила фаервола, чтобы было 
над чем думать ;)



^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-07  9:29 ` Andrey Kuleshov
  2007-03-07  9:36   ` Avramenko Andrew
@ 2007-03-07  9:37   ` Dmitriy L. Kruglikov
  2007-03-07  9:37   ` Eugene Ostapets
                     ` (2 subsequent siblings)
  4 siblings, 0 replies; 22+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-07  9:37 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Среда, 07 Март 2007 года,
Andrey Kuleshov писал(а) в сообщении: 

AK == Andrey Kuleshov

AK> Судя по обилию ответов 

Хочешь получить правильный ответ, задай правильный вопрос...

У тебя ж просили правила...
И где они ?



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
>Но что касается лицензии, то GPL - это один большой глюк. Надеюсь,
>оно ненадолго...
Надейся, надейся, надежда умрёт сразу после тебя, а GPL останется.
		-- Harzah (linux.org.ru)


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-07  9:29 ` Andrey Kuleshov
  2007-03-07  9:36   ` Avramenko Andrew
  2007-03-07  9:37   ` Dmitriy L. Kruglikov
@ 2007-03-07  9:37   ` Eugene Ostapets
  2007-03-09 13:40   ` Вадим Илларионов
  2007-03-12  9:46   ` Andrey Kuleshov
  4 siblings, 0 replies; 22+ messages in thread
From: Eugene Ostapets @ 2007-03-07  9:37 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

07.03.07, Andrey Kuleshov<drew bumer.com.ua> написал(а):
> Andrey Kuleshov wrote:
> Судя по обилию ответов рекомендация одна: reinstall Linux!
>
> Спасибо за участие!
Судя по обилию эмоций рекомендация одна... :) Выпить пиво и вдумчиво
проанализировать ситуацию... Загрузка модулей может повлиять на работу
отдельных цепочек, но не на открытость портов в целом.
Посмотри внимательно на iptables-save > /tmp/firewall

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-07  9:29 ` Andrey Kuleshov
                     ` (2 preceding siblings ...)
  2007-03-07  9:37   ` Eugene Ostapets
@ 2007-03-09 13:40   ` Вадим Илларионов
  2007-03-12  9:46   ` Andrey Kuleshov
  4 siblings, 0 replies; 22+ messages in thread
From: Вадим Илларионов @ 2007-03-09 13:40 UTC (permalink / raw)
  To: sysadmins

От Andrey Kuleshov поступило следующее:

> Andrey Kuleshov wrote:
>> Здравствуйте!
>>
>> Огреб совершенно странные грабли: не работает файрвол. Видимые
>> проявления: после запуска инит скритпа все порты оказываются наглухо
>> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
>> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>> нужным образом. #service iptables stop приводит открытые порты в видимое
>> состояние. Загрузка всех модулей, возможно относящихся к netfilter,
>> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>> все работает совершенно нормально и обычно.
>> Подскажите, плз, как растормозиться.
>> И еще: как убедиться, что работает автозагрузка модулей и все
>> необходимые библиотеки на месте и доступны?
>>
>> Спасибо!
>>   
> Судя по обилию ответов рекомендация одна: reinstall Linux!
Ну, ежели ваши правила фаервола проходят под грифом "Особой важности", тогда
дерзайте. Я б даже порекомендовал дезынсталлировать - во избежание.

> Спасибо за участие!
Вами даже миллиметра для манёвра не было предоставлено.
Так что - на здоровье!

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00



^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-07  9:29 ` Andrey Kuleshov
                     ` (3 preceding siblings ...)
  2007-03-09 13:40   ` Вадим Илларионов
@ 2007-03-12  9:46   ` Andrey Kuleshov
  2007-03-12 10:00     ` Dmitriy L. Kruglikov
  2007-03-12 10:17     ` Marat Khayrullin
  4 siblings, 2 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12  9:46 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Andrey Kuleshov wrote:
> Andrey Kuleshov wrote:
>   
> Судя по обилию ответов рекомендация одна: reinstall Linux!
>
> Спасибо за участие!
>   
Судя по реакции сообщества я-таки был неправ. Ок.
Приношу извинения.

Если еще остались желающие

</opt/scripts/rc.firewall #вызывается из /etc/rc.local>

#!/bin/sh -x

IPTABLES="/sbin/iptables"
ANYWHERE="any/0"
UNPRIVPORTS="1025:65535"

LO_IFACE="lo"
LO_IP="127.0.0.1"
LO_MASK="/0.0.0.255"
LO_NET=$LO_IP$LO_MASK

EXT_IFACE="eth1"
EXT_IP="192.168.1.2"
EXT_BASE="192.168.1.0"
EXT_MASK="/24"
EXT_NET=$EXT_BASE$EXT_MASK

INT_IFACE="eth0"
INT_IP="192.168.2.1"
INT_BASE="192.168.2.0"
INT_MASK="/24"
INT_NET=$INT_BASE$INT_MASK

echo 0 >/proc/sys/net/ipv4/ip_forward

service iptables stop

$IPTABLES -F
$IPTABLES -Z
$IPTABLES -X

$IPTABLES -t filter -N INT_IN
$IPTABLES -t filter -N INT_OUT
$IPTABLES -t filter -N PUB_IN
$IPTABLES -t filter -N PUB_OUT

$IPTABLES -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t filter -A INPUT -d $LO_NET -i ! $LO_IFACE -p tcp -j DROP
$IPTABLES -t filter -A INPUT -i $LO_IFACE -j ACCEPT
$IPTABLES -t filter -A INPUT -p icmp --icmp-type 8 -j ACCEPT # ping
$IPTABLES -t filter -A INPUT -p all -s ! $INT_NET -j PUB_IN
$IPTABLES -t filter -A INPUT -p all -i $INT_IFACE -d $INT_NET -j INT_IN
$IPTABLES -t filter -P INPUT DROP

$IPTABLES -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t filter -A FORWARD -p udp -s $INT_NET --dport 123 -j ACCEPT # ntp
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 443 -j ACCEPT # https
# ftp session
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 21 -j ACCEPT
$IPTABLES -t filter -A FORWARD -p tcp -d $INT_NET --sport 21 \
    -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# ftp active mode
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 20 -j ACCEPT
$IPTABLES -t filter -A FORWARD -p tcp -d $INT_NET --sport 20 \
    -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# ftp passive mode
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --sport $UNPRIVPORTS \
    -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t filter -A FORWARD -p tcp -d $INT_NET --dport $UNPRIVPORTS \
    -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 5190 -j ACCEPT # ICQ
$IPTABLES -t filter -P FORWARD DROP

$IPTABLES -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t filter -A OUTPUT -p all -o $LO_IFACE -j ACCEPT
$IPTABLES -t filter -A OUTPUT -p all -o $EXT_IFACE -j PUB_OUT
$IPTABLES -t filter -A OUTPUT -p all -o $INT_IFACE -j INT_OUT
$IPTABLES -t filter -A OUTPUT -j DROP
$IPTABLES -t filter -P OUTPUT ACCEPT

$IPTABLES -t filter -A INT_IN -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t filter -A INT_IN -p udp --dport 53 -j ACCEPT #DNS
$IPTABLES -t filter -A INT_IN -p tcp --dport 3128 -j ACCEPT # SQUID
$IPTABLES -t filter -A INT_IN -p tcp --dport 20 -j ACCEPT # FTP control
$IPTABLES -t filter -A INT_IN -p tcp --dport 21 -j ACCEPT # FTP data
$IPTABLES -t filter -A INT_IN -p tcp --dport 22 -j ACCEPT # ssh
$IPTABLES -t filter -A INT_IN -p tcp --dport 25 -j ACCEPT # SMTP
$IPTABLES -t filter -A INT_IN -p tcp --dport 110 -j ACCEPT # POP3
$IPTABLES -t filter -A INT_IN -p udp -s $INT_NET --dport 123 -j ACCEPT # ntp
$IPTABLES -t filter -A INT_IN -p tcp --dport 143 -j ACCEPT # IMAP
$IPTABLES -t filter -A INT_IN -p tcp --dport 443 -j ACCEPT # https
#$IPTABLES -t filter -A INT_IN -p tcp --dport 465 -j ACCEPT # SMTPs
$IPTABLES -t filter -A INT_IN -p tcp --dport 873 -j ACCEPT # rSYNC
$IPTABLES -t filter -A INT_IN -p tcp --dport 993 -j ACCEPT # IMAPs
$IPTABLES -t filter -A INT_IN -p tcp --dport 995 -j ACCEPT # POP3s
$IPTABLES -t filter -A INT_IN -p tcp --dport 1241 -j ACCEPT # nessus
$IPTABLES -t filter -A INT_IN -p tcp --dport 2121 -j REJECT # FTP proxy
$IPTABLES -t filter -A INT_IN -p tcp --dport 2638 -j ACCEPT # Sybase
$IPTABLES -t filter -A INT_IN -p tcp --dport 4025 -j ACCEPT # partimaged
$IPTABLES -t filter -A INT_IN -p tcp --dport 53 -j ACCEPT
$IPTABLES -t filter -A INT_IN -p tcp --dport 1863 -j ACCEPT # MSN
$IPTABLES -t filter -A INT_IN -p tcp --dport 3000 -j ACCEPT # int http
$IPTABLES -t filter -A INT_IN -p tcp --dport 5190 -j ACCEPT
$IPTABLES -t filter -A INT_IN -p tcp --dport 5900 -j ACCEPT # VNC
$IPTABLES -t filter -A INT_IN -p tcp --dport 6000 -j ACCEPT # X
$IPTABLES -t filter -A INT_IN -p tcp --sport $UNPRIVPORTS -j ACCEPT #
$IPTABLES -t filter -A INT_IN -p icmp --icmp-type 8 -j ACCEPT # ping
$IPTABLES -t filter -A INT_IN -p all -j REJECT
$IPTABLES -t filter -A INT_OUT -j ACCEPT

$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 22 -j ACCEPT
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 25 -j ACCEPT
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 993 -j ACCEPT
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 995 -j ACCEPT

$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 23 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 21 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" 
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 143 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 110 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" 
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 79 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 111 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" 
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 512 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 513 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 98 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" 
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 22 -m state --state INVALID,NEW \
	-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit" 
$IPTABLES -t filter -A PUB_IN -j DROP

$IPTABLES -t filter -A PUB_OUT -p icmp -m icmp --icmp-type 3 -j REJECT \
	--reject-with icmp-port-unreachable
$IPTABLES -t filter -A PUB_OUT -p icmp -m icmp --icmp-type 11 -j REJECT \
	--reject-with icmp-port-unreachable
$IPTABLES -t filter -A PUB_OUT -p icmp -j ACCEPT
$IPTABLES -t filter -A PUB_OUT -j ACCEPT

# http
$IPTABLES -t nat -A PREROUTING -p tcp -s $INT_NET \
    --dport 80 -d $INT_NET -j REDIRECT --to-ports 3000 # local httpd
$IPTABLES -t nat -A PREROUTING -p tcp -s $INT_NET \
    -m multiport --dport 80,81,82,83,88,777,8000,8001,8002,8080,8081 \
    -d ! $INT_NET -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p udp -s $INT_NET -m multiport \
    --dport 80,81,82,83,88,777,8000,8001,8002,8080,8081 \
    -d ! $INT_NET -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp -s $INT_NET -m multiport \
    --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888 \
    -d ! $INT_NET -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p udp -s $INT_NET -m multiport \
    --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888 \
    -d ! $INT_NET -j REDIRECT --to-ports 3128
$IPTABLES -t nat -P PREROUTING ACCEPT

$IPTABLES -t nat -A POSTROUTING -p all -s $INT_NET -o $EXT_IFACE -j SNAT --to-source $EXT_IP
$IPTABLES -t nat -P POSTROUTING ACCEPT

$IPTABLES -t nat -P OUTPUT ACCEPT

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

echo 1 >/proc/sys/net/ipv4/ip_forward

<//opt/scripts/rc.firewall>


-- 

 AK1041-UANIC
 




^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12  9:46   ` Andrey Kuleshov
@ 2007-03-12 10:00     ` Dmitriy L. Kruglikov
  2007-03-12 11:25       ` Andrey Kuleshov
  2007-03-12 10:17     ` Marat Khayrullin
  1 sibling, 1 reply; 22+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-12 10:00 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Понедельник, 12 Март 2007 года,
Andrey Kuleshov писал(а) в сообщении: 

AK == Andrey Kuleshov

AK> Судя по реакции сообщества я-таки был неправ. Ок.
AK> Приношу извинения.

Не безнадежен ;)

AK> Если еще остались желающие
AK> 
AK> </opt/scripts/rc.firewall #вызывается из /etc/rc.local>
Для начала, у нас есть /etc/sysconfig/iptables, который и является местом
размещения настроек.
При старте сервиса они читаются именно оттуда. Не перекрываются ли они ?

Далее:
Попытайтесь переписать свой скрипт без переменных, а явным указанием значений,
а потом, построчно, из ненавистной черно-зеленой консоли, каждую строку руками
испытайте. Какая-либо и вызовет несварение ...

У меня вызывает сомнение "-m conntrack" и им подобные ...
Скорее всего, какого-либо модуля не собрано ...
На вскидку точно не скажу, уж простите.

P.S. Труд вам предстоит титанический...
Я бы все это дело чуток попроще организовал...
Но нужно сперва задачу осмыслить...

P.P.S.
Не все, что можно найти на Гугл, удобоваримо...

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
У человека для того поставлена голова вверху, чтобы он не ходил вверх 
ногами.
		-- Козьма Прутков


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12  9:46   ` Andrey Kuleshov
  2007-03-12 10:00     ` Dmitriy L. Kruglikov
@ 2007-03-12 10:17     ` Marat Khayrullin
  1 sibling, 0 replies; 22+ messages in thread
From: Marat Khayrullin @ 2007-03-12 10:17 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Andrey Kuleshov пишет:
> LO_IFACE="lo"
> LO_IP="127.0.0.1"
> LO_MASK="/0.0.0.255"

Мне кажется здесь должно быть
LO_MASK="/8"


> LO_NET=$LO_IP$LO_MASK
> 


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12 10:00     ` Dmitriy L. Kruglikov
@ 2007-03-12 11:25       ` Andrey Kuleshov
  2007-03-12 11:53         ` Dmitriy L. Kruglikov
  0 siblings, 1 reply; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 11:25 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Dmitriy L. Kruglikov wrote:
> AK> </opt/scripts/rc.firewall #вызывается из /etc/rc.local>
> Для начала, у нас есть /etc/sysconfig/iptables, который и является местом
> размещения настроек.
>   
сервис iptables заглушен, он просто не стартует
> При старте сервиса они читаются именно оттуда. Не перекрываются ли они ?
>   
свято верю, что не перекрываются: в начале скрипта сервис, если и был
запущен, останавливается, таблицы уничтожаются и пересоздаются
> Далее:
> Попытайтесь переписать свой скрипт без переменных, а явным указанием значений,
> а потом, построчно, из ненавистной черно-зеленой консоли, каждую строку руками
> испытайте. Какая-либо и вызовет несварение ...
>   
Чем же она вдруг стала ненавистной? По мне, так это самое надежное
рабочее окружение
А, по большому счету, именно этой идеи мне и нехватало!
> У меня вызывает сомнение "-m conntrack" и им подобные ...
>   
Работало. Много лет/много машин... В логах ошибок загрузки чего-либо нет :(
> Скорее всего, какого-либо модуля не собрано ...
>   
А как определить соответствие модулей из правил пакетного фильтра и
файлов модулей?
И каким образом можно отследить проблемы с незагрузкой нужных модулей?
> На вскидку точно не скажу, уж простите.
>
> P.S. Труд вам предстоит титанический...
>   
Да это не проблема. Знать бы что искать...
> Я бы все это дело чуток попроще организовал...
> Но нужно сперва задачу осмыслить...
>
> P.P.S.
> Не все, что можно найти на Гугл, удобоваримо...
>   
Это да! Но еще раз подчеркну: скрипт взят с работающего компа


-- 

 AK1041-UANIC
 


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12 11:25       ` Andrey Kuleshov
@ 2007-03-12 11:53         ` Dmitriy L. Kruglikov
  2007-03-12 13:23           ` Avramenko Andrew
  2007-03-12 17:11           ` Andrey Kuleshov
  0 siblings, 2 replies; 22+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-12 11:53 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Понедельник, 12 Март 2007 года,
Andrey Kuleshov писал(а) в сообщении: 

AK == Andrey Kuleshov


AK> А, по большому счету, именно этой идеи мне и нехватало!
Это скепсис ? 
Мне такие скрипты сразу кажутся неудобоваримыми ...

AK> Работало. Много лет/много машин... 
Ну, это вообще не показатель ...
Разве что, ваши машины клонированы с одного винта и после этого
ни кто не обновлялся ...

AK> > Скорее всего, какого-либо модуля не собрано ...
AK> >   
AK> А как определить соответствие модулей из правил пакетного фильтра и
AK> файлов модулей?
Модули живут в 
/lib/modules/"версия_ядра"/kernel/net/ipv4/netfilter
ip_conntrack.ko нужен для " -m conntrack ", например...


AK> Да это не проблема. Знать бы что искать...
Ищите строку, которая не сработает...


AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа
А ядра у них одинаковые, модули все есть, версии совпадают ?



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Сначала ищешь справедливость, а потом - другое место работы.
		-- П.С.Таранов


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12 11:53         ` Dmitriy L. Kruglikov
@ 2007-03-12 13:23           ` Avramenko Andrew
  2007-03-12 17:08             ` Andrey Kuleshov
  2007-03-12 17:11           ` Andrey Kuleshov
  1 sibling, 1 reply; 22+ messages in thread
From: Avramenko Andrew @ 2007-03-12 13:23 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

> AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа
У них одинаковые сетевые настройки и положение в сети? :-)


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
  2007-03-06 12:58 ` Avramenko Andrew
  2007-03-07  9:29 ` Andrey Kuleshov
@ 2007-03-12 13:52 ` Andrii Dobrovol`s`kii
  2007-03-12 17:19   ` Andrey Kuleshov
  2007-03-12 17:20 ` Andrey Kuleshov
  3 siblings, 1 reply; 22+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-12 13:52 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 1478 bytes --]

Andrey Kuleshov пишет:
> Здравствуйте!
> 
> Огреб совершенно странные грабли: не работает файрвол. Видимые
> проявления: после запуска инит скритпа все порты оказываются наглухо
> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
> нужным образом.
Нужным это каким?
> #service iptables stop приводит открытые порты в видимое
> состояние. 
Только открытые? Кем открытые?
> Загрузка всех модулей, возможно относящихся к netfilter,
> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
> все работает совершенно нормально и обычно.
> Подскажите, плз, как растормозиться.
Прочесть доку к iptables на предмет просмотра счетчиков. Увидеть
куда пакеты попадают реально и сделать выводы. Убедиться, что
iptables не запускается дважды с разными настройками. И хранить
рабочий набор правил там, где ему отведено место в системе.
> И еще: как убедиться, что работает автозагрузка модулей и все
> необходимые библиотеки на месте и доступны?
> 
А lsmod не помогает?
> Спасибо!
> 
Пожалуйста.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12 13:23           ` Avramenko Andrew
@ 2007-03-12 17:08             ` Andrey Kuleshov
  0 siblings, 0 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 17:08 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Avramenko Andrew wrote:
>> AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа
>>     
> У них одинаковые сетевые настройки и положение в сети? :-)
>   
С точностью до IP-адресов интерфейсов


-- 

 AK1041-UANIC
 


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12 11:53         ` Dmitriy L. Kruglikov
  2007-03-12 13:23           ` Avramenko Andrew
@ 2007-03-12 17:11           ` Andrey Kuleshov
  1 sibling, 0 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 17:11 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Dmitriy L. Kruglikov wrote:
> На календаре было: Понедельник, 12 Март 2007 года,
> Andrey Kuleshov писал(а) в сообщении: 
>
> AK == Andrey Kuleshov
>
>
> AK> А, по большому счету, именно этой идеи мне и нехватало!
> Это скепсис ? 
>   
Вовсе нет! Совершенно серьезно. Собсно, никто не ищет легких путей, было
бы понятно куда двигаться.
> Мне такие скрипты сразу кажутся неудобоваримыми ...
>   
Может и так, но за весьма продолжительное время не было повода винить
скрипты, хотя я не настаиваю.

> AK> Работало. Много лет/много машин... 
> Ну, это вообще не показатель ...
> Разве что, ваши машины клонированы с одного винта и после этого
> ни кто не обновлялся ...
>
> AK> > Скорее всего, какого-либо модуля не собрано ...
> AK> >   
> AK> А как определить соответствие модулей из правил пакетного фильтра и
> AK> файлов модулей?
> Модули живут в 
> /lib/modules/"версия_ядра"/kernel/net/ipv4/netfilter
> ip_conntrack.ko нужен для " -m conntrack ", например...
>   
М..ня.. от незнания куда ткнуться были попытки загрузить _все_ модули из
этого каталога...
>
> AK> Да это не проблема. Знать бы что искать...
> Ищите строку, которая не сработает...
>   
Да, я уже понял, что надо все правила полностью переписать. Если не
найдется затык, то хоть заново что-то изваяю.
> AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа
> А ядра у них одинаковые, модули все есть, версии совпадают ?
>   
Вначале я писал, что на тестовой системе ситуация не воспроизводится, а
отличие неработающей системы от тестовой только в том, что на
неработающей стоит два физических процессора, а на тестовой один
двухядерный. Неужели в этом может быть затык?!


-- 

 AK1041-UANIC
 


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12 13:52 ` Andrii Dobrovol`s`kii
@ 2007-03-12 17:19   ` Andrey Kuleshov
  2007-03-13  9:29     ` Andrii Dobrovol`s`kii
  0 siblings, 1 reply; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 17:19 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Andrii Dobrovol`s`kii wrote:
> Andrey Kuleshov пишет:
>   
>> Здравствуйте!
>>
>> Огреб совершенно странные грабли: не работает файрвол. Видимые
>> проявления: после запуска инит скритпа все порты оказываются наглухо
>> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
>> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>> нужным образом.
>>     
> Нужным это каким?
>   
Все таблицы/цепочки на месте
>> #service iptables stop приводит открытые порты в видимое
>> состояние. 
>>     
> Только открытые? Кем открытые?
>   
pop3s, imaps, smtp, squid, httpd, named etc.
>> Загрузка всех модулей, возможно относящихся к netfilter,
>> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>> все работает совершенно нормально и обычно.
>> Подскажите, плз, как растормозиться.
>>     
> Прочесть доку к iptables на предмет просмотра счетчиков. Увидеть
> куда пакеты попадают реально и сделать выводы. 
Вау! Пошел изучать. Видимо это и есть заветное направление
> Убедиться, что
> iptables не запускается дважды с разными настройками. 
М... а для _возможного_ первого гипотетического запуска
#service iptables stop
недостаточно?
> И хранить
> рабочий набор правил там, где ему отведено место в системе.
>   
>> И еще: как убедиться, что работает автозагрузка модулей и все
>> необходимые библиотеки на месте и доступны?
>>
>>     
> А lsmod не помогает?
>   
Помогает. Помогает увидеть что уже загружено, но не может дать никакой
информации чего не хватает

-- 

 AK1041-UANIC
 


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
                   ` (2 preceding siblings ...)
  2007-03-12 13:52 ` Andrii Dobrovol`s`kii
@ 2007-03-12 17:20 ` Andrey Kuleshov
  2007-03-13  6:34   ` Dmitriy L. Kruglikov
  3 siblings, 1 reply; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 17:20 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте!

Похоже, тема исчерпана, направления изысканий понятны.
Закрываем обсуждение.

Спасибо всем!


-- 

 AK1041-UANIC
 


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12 17:20 ` Andrey Kuleshov
@ 2007-03-13  6:34   ` Dmitriy L. Kruglikov
  2007-03-13 11:42     ` Andrey Kuleshov
  0 siblings, 1 reply; 22+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-13  6:34 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

На календаре было: Понедельник, 12 Март 2007 года,
Andrey Kuleshov писал(а) в сообщении: 

AK == Andrey Kuleshov

AK> Похоже, тема исчерпана, направления изысканий понятны.
AK> Закрываем обсуждение.
Э, нет ....
По результатам изысканий, будь добр, отчитайся...
Дабы на грабельку не наступил идущий следом :)
Или отвечающий имел возможность давать более толковые советы.

Ну и просто ж интересно...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Прекрасна молодость, когда она в движении и знает, куда приложить свои силы.
		-- Менандр


^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-12 17:19   ` Andrey Kuleshov
@ 2007-03-13  9:29     ` Andrii Dobrovol`s`kii
  0 siblings, 0 replies; 22+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-13  9:29 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 2291 bytes --]

Andrey Kuleshov пишет:
> Andrii Dobrovol`s`kii wrote:
>> Andrey Kuleshov пишет:
>>   
>>> Здравствуйте!
>>>
>>> Огреб совершенно странные грабли: не работает файрвол. Видимые
>>> проявления: после запуска инит скритпа все порты оказываются наглухо
>>> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
>>> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>>> нужным образом.
>>>     
>> Нужным это каким?
>>   
> Все таблицы/цепочки на месте
Это хорошо.
>>> #service iptables stop приводит открытые порты в видимое
>>> состояние. 
>>>     
>> Только открытые? Кем открытые?
>>   
> pop3s, imaps, smtp, squid, httpd, named etc.
А, дошло :) , те, что прослушиваются запущенными службами.
>>> Загрузка всех модулей, возможно относящихся к netfilter,
>>> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>>> все работает совершенно нормально и обычно.
>>> Подскажите, плз, как растормозиться.
>>>     
>> Прочесть доку к iptables на предмет просмотра счетчиков. Увидеть
>> куда пакеты попадают реально и сделать выводы. 
> Вау! Пошел изучать. Видимо это и есть заветное направление
>> Убедиться, что
>> iptables не запускается дважды с разными настройками. 
> М... а для _возможного_ первого гипотетического запуска
> #service iptables stop
> недостаточно?
Бывает по всякому... Ведь что-то же не работает... Лучше до запуска
скрипта самому убедиться, что iptables не активен.
>> И хранить
>> рабочий набор правил там, где ему отведено место в системе.
>>   
>>> И еще: как убедиться, что работает автозагрузка модулей и все
>>> необходимые библиотеки на месте и доступны?
>>>
>>>     
>> А lsmod не помогает?
>>   
> Помогает. Помогает увидеть что уже загружено, но не может дать никакой
> информации чего не хватает
> 
Это да. Что нужно загружать помогает понять документация... ;) Ну и
коллеги при прямых вопросах...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 22+ messages in thread

* Re: [Sysadmins] iptables не открывает порты
  2007-03-13  6:34   ` Dmitriy L. Kruglikov
@ 2007-03-13 11:42     ` Andrey Kuleshov
  0 siblings, 0 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-13 11:42 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Dmitriy L. Kruglikov wrote:
> На календаре было: Понедельник, 12 Март 2007 года,
> Andrey Kuleshov писал(а) в сообщении: 
>
> AK == Andrey Kuleshov
>
> AK> Похоже, тема исчерпана, направления изысканий понятны.
> AK> Закрываем обсуждение.
> Э, нет ....
> По результатам изысканий, будь добр, отчитайся...
>   
Ага. Как только удастся все это незаметно сладить: по иронии Судьбы
заклинившая система находится на площадке заказчика, на глазах которого
нет ни возможности, ни времени экспериментировать. Так что это совсем
нескоро.

Из исследованного: не работает таблица filter, PREROUTING и REDIRECT в
nat включаются/выключаются по пока неизвестным законам.
> Дабы на грабельку не наступил идущий следом :)
>   
Гг. Так тут приговор уже известен: не пользуйтесь моим скриптом.
> Или отвечающий имел возможность давать более толковые советы.
>
> Ну и просто ж интересно...
>   
Ой, а как мне было интересно!...

-- 

 AK1041-UANIC
 


^ permalink raw reply	[flat|nested] 22+ messages in thread

end of thread, other threads:[~2007-03-13 11:42 UTC | newest]

Thread overview: 22+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
2007-03-06 12:58 ` Avramenko Andrew
2007-03-06 13:09   ` Andrey Kuleshov
2007-03-07  9:29 ` Andrey Kuleshov
2007-03-07  9:36   ` Avramenko Andrew
2007-03-07  9:37   ` Dmitriy L. Kruglikov
2007-03-07  9:37   ` Eugene Ostapets
2007-03-09 13:40   ` Вадим Илларионов
2007-03-12  9:46   ` Andrey Kuleshov
2007-03-12 10:00     ` Dmitriy L. Kruglikov
2007-03-12 11:25       ` Andrey Kuleshov
2007-03-12 11:53         ` Dmitriy L. Kruglikov
2007-03-12 13:23           ` Avramenko Andrew
2007-03-12 17:08             ` Andrey Kuleshov
2007-03-12 17:11           ` Andrey Kuleshov
2007-03-12 10:17     ` Marat Khayrullin
2007-03-12 13:52 ` Andrii Dobrovol`s`kii
2007-03-12 17:19   ` Andrey Kuleshov
2007-03-13  9:29     ` Andrii Dobrovol`s`kii
2007-03-12 17:20 ` Andrey Kuleshov
2007-03-13  6:34   ` Dmitriy L. Kruglikov
2007-03-13 11:42     ` Andrey Kuleshov

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git