* [Sysadmins] iptables не открывает порты
@ 2007-03-06 12:37 Andrey Kuleshov
2007-03-06 12:58 ` Avramenko Andrew
` (3 more replies)
0 siblings, 4 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-06 12:37 UTC (permalink / raw)
To: sysadmins
Здравствуйте!
Огреб совершенно странные грабли: не работает файрвол. Видимые
проявления: после запуска инит скритпа все порты оказываются наглухо
закрытыми. Инициализационный скрипт был проверен и обкатан в течении
неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
нужным образом. #service iptables stop приводит открытые порты в видимое
состояние. Загрузка всех модулей, возможно относящихся к netfilter,
эффекта не дала. На тестовой системе ситуация не воспроизводится, там
все работает совершенно нормально и обычно.
Подскажите, плз, как растормозиться.
И еще: как убедиться, что работает автозагрузка модулей и все
необходимые библиотеки на месте и доступны?
Спасибо!
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
@ 2007-03-06 12:58 ` Avramenko Andrew
2007-03-06 13:09 ` Andrey Kuleshov
2007-03-07 9:29 ` Andrey Kuleshov
` (2 subsequent siblings)
3 siblings, 1 reply; 22+ messages in thread
From: Avramenko Andrew @ 2007-03-06 12:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Andrey Kuleshov пишет:
> Здравствуйте!
>
> Огреб совершенно странные грабли: не работает файрвол. Видимые
> проявления: после запуска инит скритпа все порты оказываются наглухо
> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
> нужным образом. #service iptables stop приводит открытые порты в видимое
> состояние. Загрузка всех модулей, возможно относящихся к netfilter,
> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
> все работает совершенно нормально и обычно.
> Подскажите, плз, как растормозиться.
> И еще: как убедиться, что работает автозагрузка модулей и все
> необходимые библиотеки на месте и доступны?
>
> Спасибо!
>
А без правил фаервола разве можно ответить на вопрос? :)
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-06 12:58 ` Avramenko Andrew
@ 2007-03-06 13:09 ` Andrey Kuleshov
0 siblings, 0 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-06 13:09 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Avramenko Andrew wrote:
> Andrey Kuleshov пишет:
>
>> Здравствуйте!
>>
>> Огреб совершенно странные грабли: не работает файрвол. Видимые
>> проявления: после запуска инит скритпа все порты оказываются наглухо
>> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
>> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>> нужным образом. #service iptables stop приводит открытые порты в видимое
>> состояние. Загрузка всех модулей, возможно относящихся к netfilter,
>> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>> все работает совершенно нормально и обычно.
>> Подскажите, плз, как растормозиться.
>> И еще: как убедиться, что работает автозагрузка модулей и все
>> необходимые библиотеки на месте и доступны?
>>
>> Спасибо!
>>
>>
> А без правил фаервола разве можно ответить на вопрос? :)
>
Видимо, наивно думаю, что да
>Инициализационный скрипт был проверен и обкатан в течении
>неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>нужным образом. #service iptables stop приводит открытые порты в видимое
>состояние. Загрузка всех модулей, возможно относящихся к netfilter,
>эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>все работает совершенно нормально и обычно.
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
2007-03-06 12:58 ` Avramenko Andrew
@ 2007-03-07 9:29 ` Andrey Kuleshov
2007-03-07 9:36 ` Avramenko Andrew
` (4 more replies)
2007-03-12 13:52 ` Andrii Dobrovol`s`kii
2007-03-12 17:20 ` Andrey Kuleshov
3 siblings, 5 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-07 9:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Andrey Kuleshov wrote:
> Здравствуйте!
>
> Огреб совершенно странные грабли: не работает файрвол. Видимые
> проявления: после запуска инит скритпа все порты оказываются наглухо
> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
> нужным образом. #service iptables stop приводит открытые порты в видимое
> состояние. Загрузка всех модулей, возможно относящихся к netfilter,
> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
> все работает совершенно нормально и обычно.
> Подскажите, плз, как растормозиться.
> И еще: как убедиться, что работает автозагрузка модулей и все
> необходимые библиотеки на месте и доступны?
>
> Спасибо!
>
Судя по обилию ответов рекомендация одна: reinstall Linux!
Спасибо за участие!
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-07 9:29 ` Andrey Kuleshov
@ 2007-03-07 9:36 ` Avramenko Andrew
2007-03-07 9:37 ` Dmitriy L. Kruglikov
` (3 subsequent siblings)
4 siblings, 0 replies; 22+ messages in thread
From: Avramenko Andrew @ 2007-03-07 9:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Судя по обилию ответов рекомендация одна: reinstall Linux!
>
> Спасибо за участие!
Я тонко намекал на то, что надо бы выложить правила фаервола, чтобы было
над чем думать ;)
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-07 9:29 ` Andrey Kuleshov
2007-03-07 9:36 ` Avramenko Andrew
@ 2007-03-07 9:37 ` Dmitriy L. Kruglikov
2007-03-07 9:37 ` Eugene Ostapets
` (2 subsequent siblings)
4 siblings, 0 replies; 22+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-07 9:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Среда, 07 Март 2007 года,
Andrey Kuleshov писал(а) в сообщении:
AK == Andrey Kuleshov
AK> Судя по обилию ответов
Хочешь получить правильный ответ, задай правильный вопрос...
У тебя ж просили правила...
И где они ?
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
>Но что касается лицензии, то GPL - это один большой глюк. Надеюсь,
>оно ненадолго...
Надейся, надейся, надежда умрёт сразу после тебя, а GPL останется.
-- Harzah (linux.org.ru)
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-07 9:29 ` Andrey Kuleshov
2007-03-07 9:36 ` Avramenko Andrew
2007-03-07 9:37 ` Dmitriy L. Kruglikov
@ 2007-03-07 9:37 ` Eugene Ostapets
2007-03-09 13:40 ` Вадим Илларионов
2007-03-12 9:46 ` Andrey Kuleshov
4 siblings, 0 replies; 22+ messages in thread
From: Eugene Ostapets @ 2007-03-07 9:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
07.03.07, Andrey Kuleshov<drew bumer.com.ua> написал(а):
> Andrey Kuleshov wrote:
> Судя по обилию ответов рекомендация одна: reinstall Linux!
>
> Спасибо за участие!
Судя по обилию эмоций рекомендация одна... :) Выпить пиво и вдумчиво
проанализировать ситуацию... Загрузка модулей может повлиять на работу
отдельных цепочек, но не на открытость портов в целом.
Посмотри внимательно на iptables-save > /tmp/firewall
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-07 9:29 ` Andrey Kuleshov
` (2 preceding siblings ...)
2007-03-07 9:37 ` Eugene Ostapets
@ 2007-03-09 13:40 ` Вадим Илларионов
2007-03-12 9:46 ` Andrey Kuleshov
4 siblings, 0 replies; 22+ messages in thread
From: Вадим Илларионов @ 2007-03-09 13:40 UTC (permalink / raw)
To: sysadmins
От Andrey Kuleshov поступило следующее:
> Andrey Kuleshov wrote:
>> Здравствуйте!
>>
>> Огреб совершенно странные грабли: не работает файрвол. Видимые
>> проявления: после запуска инит скритпа все порты оказываются наглухо
>> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
>> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>> нужным образом. #service iptables stop приводит открытые порты в видимое
>> состояние. Загрузка всех модулей, возможно относящихся к netfilter,
>> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>> все работает совершенно нормально и обычно.
>> Подскажите, плз, как растормозиться.
>> И еще: как убедиться, что работает автозагрузка модулей и все
>> необходимые библиотеки на месте и доступны?
>>
>> Спасибо!
>>
> Судя по обилию ответов рекомендация одна: reinstall Linux!
Ну, ежели ваши правила фаервола проходят под грифом "Особой важности", тогда
дерзайте. Я б даже порекомендовал дезынсталлировать - во избежание.
> Спасибо за участие!
Вами даже миллиметра для манёвра не было предоставлено.
Так что - на здоровье!
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-07 9:29 ` Andrey Kuleshov
` (3 preceding siblings ...)
2007-03-09 13:40 ` Вадим Илларионов
@ 2007-03-12 9:46 ` Andrey Kuleshov
2007-03-12 10:00 ` Dmitriy L. Kruglikov
2007-03-12 10:17 ` Marat Khayrullin
4 siblings, 2 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 9:46 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Andrey Kuleshov wrote:
> Andrey Kuleshov wrote:
>
> Судя по обилию ответов рекомендация одна: reinstall Linux!
>
> Спасибо за участие!
>
Судя по реакции сообщества я-таки был неправ. Ок.
Приношу извинения.
Если еще остались желающие
</opt/scripts/rc.firewall #вызывается из /etc/rc.local>
#!/bin/sh -x
IPTABLES="/sbin/iptables"
ANYWHERE="any/0"
UNPRIVPORTS="1025:65535"
LO_IFACE="lo"
LO_IP="127.0.0.1"
LO_MASK="/0.0.0.255"
LO_NET=$LO_IP$LO_MASK
EXT_IFACE="eth1"
EXT_IP="192.168.1.2"
EXT_BASE="192.168.1.0"
EXT_MASK="/24"
EXT_NET=$EXT_BASE$EXT_MASK
INT_IFACE="eth0"
INT_IP="192.168.2.1"
INT_BASE="192.168.2.0"
INT_MASK="/24"
INT_NET=$INT_BASE$INT_MASK
echo 0 >/proc/sys/net/ipv4/ip_forward
service iptables stop
$IPTABLES -F
$IPTABLES -Z
$IPTABLES -X
$IPTABLES -t filter -N INT_IN
$IPTABLES -t filter -N INT_OUT
$IPTABLES -t filter -N PUB_IN
$IPTABLES -t filter -N PUB_OUT
$IPTABLES -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t filter -A INPUT -d $LO_NET -i ! $LO_IFACE -p tcp -j DROP
$IPTABLES -t filter -A INPUT -i $LO_IFACE -j ACCEPT
$IPTABLES -t filter -A INPUT -p icmp --icmp-type 8 -j ACCEPT # ping
$IPTABLES -t filter -A INPUT -p all -s ! $INT_NET -j PUB_IN
$IPTABLES -t filter -A INPUT -p all -i $INT_IFACE -d $INT_NET -j INT_IN
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t filter -A FORWARD -p udp -s $INT_NET --dport 123 -j ACCEPT # ntp
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 443 -j ACCEPT # https
# ftp session
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 21 -j ACCEPT
$IPTABLES -t filter -A FORWARD -p tcp -d $INT_NET --sport 21 \
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# ftp active mode
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 20 -j ACCEPT
$IPTABLES -t filter -A FORWARD -p tcp -d $INT_NET --sport 20 \
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# ftp passive mode
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --sport $UNPRIVPORTS \
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t filter -A FORWARD -p tcp -d $INT_NET --dport $UNPRIVPORTS \
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t filter -A FORWARD -p tcp -s $INT_NET --dport 5190 -j ACCEPT # ICQ
$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t filter -A OUTPUT -p all -o $LO_IFACE -j ACCEPT
$IPTABLES -t filter -A OUTPUT -p all -o $EXT_IFACE -j PUB_OUT
$IPTABLES -t filter -A OUTPUT -p all -o $INT_IFACE -j INT_OUT
$IPTABLES -t filter -A OUTPUT -j DROP
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -A INT_IN -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t filter -A INT_IN -p udp --dport 53 -j ACCEPT #DNS
$IPTABLES -t filter -A INT_IN -p tcp --dport 3128 -j ACCEPT # SQUID
$IPTABLES -t filter -A INT_IN -p tcp --dport 20 -j ACCEPT # FTP control
$IPTABLES -t filter -A INT_IN -p tcp --dport 21 -j ACCEPT # FTP data
$IPTABLES -t filter -A INT_IN -p tcp --dport 22 -j ACCEPT # ssh
$IPTABLES -t filter -A INT_IN -p tcp --dport 25 -j ACCEPT # SMTP
$IPTABLES -t filter -A INT_IN -p tcp --dport 110 -j ACCEPT # POP3
$IPTABLES -t filter -A INT_IN -p udp -s $INT_NET --dport 123 -j ACCEPT # ntp
$IPTABLES -t filter -A INT_IN -p tcp --dport 143 -j ACCEPT # IMAP
$IPTABLES -t filter -A INT_IN -p tcp --dport 443 -j ACCEPT # https
#$IPTABLES -t filter -A INT_IN -p tcp --dport 465 -j ACCEPT # SMTPs
$IPTABLES -t filter -A INT_IN -p tcp --dport 873 -j ACCEPT # rSYNC
$IPTABLES -t filter -A INT_IN -p tcp --dport 993 -j ACCEPT # IMAPs
$IPTABLES -t filter -A INT_IN -p tcp --dport 995 -j ACCEPT # POP3s
$IPTABLES -t filter -A INT_IN -p tcp --dport 1241 -j ACCEPT # nessus
$IPTABLES -t filter -A INT_IN -p tcp --dport 2121 -j REJECT # FTP proxy
$IPTABLES -t filter -A INT_IN -p tcp --dport 2638 -j ACCEPT # Sybase
$IPTABLES -t filter -A INT_IN -p tcp --dport 4025 -j ACCEPT # partimaged
$IPTABLES -t filter -A INT_IN -p tcp --dport 53 -j ACCEPT
$IPTABLES -t filter -A INT_IN -p tcp --dport 1863 -j ACCEPT # MSN
$IPTABLES -t filter -A INT_IN -p tcp --dport 3000 -j ACCEPT # int http
$IPTABLES -t filter -A INT_IN -p tcp --dport 5190 -j ACCEPT
$IPTABLES -t filter -A INT_IN -p tcp --dport 5900 -j ACCEPT # VNC
$IPTABLES -t filter -A INT_IN -p tcp --dport 6000 -j ACCEPT # X
$IPTABLES -t filter -A INT_IN -p tcp --sport $UNPRIVPORTS -j ACCEPT #
$IPTABLES -t filter -A INT_IN -p icmp --icmp-type 8 -j ACCEPT # ping
$IPTABLES -t filter -A INT_IN -p all -j REJECT
$IPTABLES -t filter -A INT_OUT -j ACCEPT
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 22 -j ACCEPT
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 25 -j ACCEPT
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 993 -j ACCEPT
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 995 -j ACCEPT
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 23 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 21 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 143 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 110 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 79 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 111 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 512 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 513 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 98 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -p tcp -m tcp --dport 22 -m state --state INVALID,NEW \
-m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "audit"
$IPTABLES -t filter -A PUB_IN -j DROP
$IPTABLES -t filter -A PUB_OUT -p icmp -m icmp --icmp-type 3 -j REJECT \
--reject-with icmp-port-unreachable
$IPTABLES -t filter -A PUB_OUT -p icmp -m icmp --icmp-type 11 -j REJECT \
--reject-with icmp-port-unreachable
$IPTABLES -t filter -A PUB_OUT -p icmp -j ACCEPT
$IPTABLES -t filter -A PUB_OUT -j ACCEPT
# http
$IPTABLES -t nat -A PREROUTING -p tcp -s $INT_NET \
--dport 80 -d $INT_NET -j REDIRECT --to-ports 3000 # local httpd
$IPTABLES -t nat -A PREROUTING -p tcp -s $INT_NET \
-m multiport --dport 80,81,82,83,88,777,8000,8001,8002,8080,8081 \
-d ! $INT_NET -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p udp -s $INT_NET -m multiport \
--dport 80,81,82,83,88,777,8000,8001,8002,8080,8081 \
-d ! $INT_NET -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp -s $INT_NET -m multiport \
--dport 8082,8083,8091,8100,8101,8102,8103,8080,8888 \
-d ! $INT_NET -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p udp -s $INT_NET -m multiport \
--dport 8082,8083,8091,8100,8101,8102,8103,8080,8888 \
-d ! $INT_NET -j REDIRECT --to-ports 3128
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -A POSTROUTING -p all -s $INT_NET -o $EXT_IFACE -j SNAT --to-source $EXT_IP
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT
echo 1 >/proc/sys/net/ipv4/ip_forward
<//opt/scripts/rc.firewall>
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 9:46 ` Andrey Kuleshov
@ 2007-03-12 10:00 ` Dmitriy L. Kruglikov
2007-03-12 11:25 ` Andrey Kuleshov
2007-03-12 10:17 ` Marat Khayrullin
1 sibling, 1 reply; 22+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-12 10:00 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Март 2007 года,
Andrey Kuleshov писал(а) в сообщении:
AK == Andrey Kuleshov
AK> Судя по реакции сообщества я-таки был неправ. Ок.
AK> Приношу извинения.
Не безнадежен ;)
AK> Если еще остались желающие
AK>
AK> </opt/scripts/rc.firewall #вызывается из /etc/rc.local>
Для начала, у нас есть /etc/sysconfig/iptables, который и является местом
размещения настроек.
При старте сервиса они читаются именно оттуда. Не перекрываются ли они ?
Далее:
Попытайтесь переписать свой скрипт без переменных, а явным указанием значений,
а потом, построчно, из ненавистной черно-зеленой консоли, каждую строку руками
испытайте. Какая-либо и вызовет несварение ...
У меня вызывает сомнение "-m conntrack" и им подобные ...
Скорее всего, какого-либо модуля не собрано ...
На вскидку точно не скажу, уж простите.
P.S. Труд вам предстоит титанический...
Я бы все это дело чуток попроще организовал...
Но нужно сперва задачу осмыслить...
P.P.S.
Не все, что можно найти на Гугл, удобоваримо...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
У человека для того поставлена голова вверху, чтобы он не ходил вверх
ногами.
-- Козьма Прутков
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 9:46 ` Andrey Kuleshov
2007-03-12 10:00 ` Dmitriy L. Kruglikov
@ 2007-03-12 10:17 ` Marat Khayrullin
1 sibling, 0 replies; 22+ messages in thread
From: Marat Khayrullin @ 2007-03-12 10:17 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Andrey Kuleshov пишет:
> LO_IFACE="lo"
> LO_IP="127.0.0.1"
> LO_MASK="/0.0.0.255"
Мне кажется здесь должно быть
LO_MASK="/8"
> LO_NET=$LO_IP$LO_MASK
>
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 10:00 ` Dmitriy L. Kruglikov
@ 2007-03-12 11:25 ` Andrey Kuleshov
2007-03-12 11:53 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 11:25 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov wrote:
> AK> </opt/scripts/rc.firewall #вызывается из /etc/rc.local>
> Для начала, у нас есть /etc/sysconfig/iptables, который и является местом
> размещения настроек.
>
сервис iptables заглушен, он просто не стартует
> При старте сервиса они читаются именно оттуда. Не перекрываются ли они ?
>
свято верю, что не перекрываются: в начале скрипта сервис, если и был
запущен, останавливается, таблицы уничтожаются и пересоздаются
> Далее:
> Попытайтесь переписать свой скрипт без переменных, а явным указанием значений,
> а потом, построчно, из ненавистной черно-зеленой консоли, каждую строку руками
> испытайте. Какая-либо и вызовет несварение ...
>
Чем же она вдруг стала ненавистной? По мне, так это самое надежное
рабочее окружение
А, по большому счету, именно этой идеи мне и нехватало!
> У меня вызывает сомнение "-m conntrack" и им подобные ...
>
Работало. Много лет/много машин... В логах ошибок загрузки чего-либо нет :(
> Скорее всего, какого-либо модуля не собрано ...
>
А как определить соответствие модулей из правил пакетного фильтра и
файлов модулей?
И каким образом можно отследить проблемы с незагрузкой нужных модулей?
> На вскидку точно не скажу, уж простите.
>
> P.S. Труд вам предстоит титанический...
>
Да это не проблема. Знать бы что искать...
> Я бы все это дело чуток попроще организовал...
> Но нужно сперва задачу осмыслить...
>
> P.P.S.
> Не все, что можно найти на Гугл, удобоваримо...
>
Это да! Но еще раз подчеркну: скрипт взят с работающего компа
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 11:25 ` Andrey Kuleshov
@ 2007-03-12 11:53 ` Dmitriy L. Kruglikov
2007-03-12 13:23 ` Avramenko Andrew
2007-03-12 17:11 ` Andrey Kuleshov
0 siblings, 2 replies; 22+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-12 11:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Март 2007 года,
Andrey Kuleshov писал(а) в сообщении:
AK == Andrey Kuleshov
AK> А, по большому счету, именно этой идеи мне и нехватало!
Это скепсис ?
Мне такие скрипты сразу кажутся неудобоваримыми ...
AK> Работало. Много лет/много машин...
Ну, это вообще не показатель ...
Разве что, ваши машины клонированы с одного винта и после этого
ни кто не обновлялся ...
AK> > Скорее всего, какого-либо модуля не собрано ...
AK> >
AK> А как определить соответствие модулей из правил пакетного фильтра и
AK> файлов модулей?
Модули живут в
/lib/modules/"версия_ядра"/kernel/net/ipv4/netfilter
ip_conntrack.ko нужен для " -m conntrack ", например...
AK> Да это не проблема. Знать бы что искать...
Ищите строку, которая не сработает...
AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа
А ядра у них одинаковые, модули все есть, версии совпадают ?
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Сначала ищешь справедливость, а потом - другое место работы.
-- П.С.Таранов
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 11:53 ` Dmitriy L. Kruglikov
@ 2007-03-12 13:23 ` Avramenko Andrew
2007-03-12 17:08 ` Andrey Kuleshov
2007-03-12 17:11 ` Andrey Kuleshov
1 sibling, 1 reply; 22+ messages in thread
From: Avramenko Andrew @ 2007-03-12 13:23 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа
У них одинаковые сетевые настройки и положение в сети? :-)
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
2007-03-06 12:58 ` Avramenko Andrew
2007-03-07 9:29 ` Andrey Kuleshov
@ 2007-03-12 13:52 ` Andrii Dobrovol`s`kii
2007-03-12 17:19 ` Andrey Kuleshov
2007-03-12 17:20 ` Andrey Kuleshov
3 siblings, 1 reply; 22+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-12 13:52 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1478 bytes --]
Andrey Kuleshov пишет:
> Здравствуйте!
>
> Огреб совершенно странные грабли: не работает файрвол. Видимые
> проявления: после запуска инит скритпа все порты оказываются наглухо
> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
> нужным образом.
Нужным это каким?
> #service iptables stop приводит открытые порты в видимое
> состояние.
Только открытые? Кем открытые?
> Загрузка всех модулей, возможно относящихся к netfilter,
> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
> все работает совершенно нормально и обычно.
> Подскажите, плз, как растормозиться.
Прочесть доку к iptables на предмет просмотра счетчиков. Увидеть
куда пакеты попадают реально и сделать выводы. Убедиться, что
iptables не запускается дважды с разными настройками. И хранить
рабочий набор правил там, где ему отведено место в системе.
> И еще: как убедиться, что работает автозагрузка модулей и все
> необходимые библиотеки на месте и доступны?
>
А lsmod не помогает?
> Спасибо!
>
Пожалуйста.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 13:23 ` Avramenko Andrew
@ 2007-03-12 17:08 ` Andrey Kuleshov
0 siblings, 0 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 17:08 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Avramenko Andrew wrote:
>> AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа
>>
> У них одинаковые сетевые настройки и положение в сети? :-)
>
С точностью до IP-адресов интерфейсов
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 11:53 ` Dmitriy L. Kruglikov
2007-03-12 13:23 ` Avramenko Andrew
@ 2007-03-12 17:11 ` Andrey Kuleshov
1 sibling, 0 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 17:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov wrote:
> На календаре было: Понедельник, 12 Март 2007 года,
> Andrey Kuleshov писал(а) в сообщении:
>
> AK == Andrey Kuleshov
>
>
> AK> А, по большому счету, именно этой идеи мне и нехватало!
> Это скепсис ?
>
Вовсе нет! Совершенно серьезно. Собсно, никто не ищет легких путей, было
бы понятно куда двигаться.
> Мне такие скрипты сразу кажутся неудобоваримыми ...
>
Может и так, но за весьма продолжительное время не было повода винить
скрипты, хотя я не настаиваю.
> AK> Работало. Много лет/много машин...
> Ну, это вообще не показатель ...
> Разве что, ваши машины клонированы с одного винта и после этого
> ни кто не обновлялся ...
>
> AK> > Скорее всего, какого-либо модуля не собрано ...
> AK> >
> AK> А как определить соответствие модулей из правил пакетного фильтра и
> AK> файлов модулей?
> Модули живут в
> /lib/modules/"версия_ядра"/kernel/net/ipv4/netfilter
> ip_conntrack.ko нужен для " -m conntrack ", например...
>
М..ня.. от незнания куда ткнуться были попытки загрузить _все_ модули из
этого каталога...
>
> AK> Да это не проблема. Знать бы что искать...
> Ищите строку, которая не сработает...
>
Да, я уже понял, что надо все правила полностью переписать. Если не
найдется затык, то хоть заново что-то изваяю.
> AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа
> А ядра у них одинаковые, модули все есть, версии совпадают ?
>
Вначале я писал, что на тестовой системе ситуация не воспроизводится, а
отличие неработающей системы от тестовой только в том, что на
неработающей стоит два физических процессора, а на тестовой один
двухядерный. Неужели в этом может быть затык?!
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 13:52 ` Andrii Dobrovol`s`kii
@ 2007-03-12 17:19 ` Andrey Kuleshov
2007-03-13 9:29 ` Andrii Dobrovol`s`kii
0 siblings, 1 reply; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 17:19 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Andrii Dobrovol`s`kii wrote:
> Andrey Kuleshov пишет:
>
>> Здравствуйте!
>>
>> Огреб совершенно странные грабли: не работает файрвол. Видимые
>> проявления: после запуска инит скритпа все порты оказываются наглухо
>> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
>> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>> нужным образом.
>>
> Нужным это каким?
>
Все таблицы/цепочки на месте
>> #service iptables stop приводит открытые порты в видимое
>> состояние.
>>
> Только открытые? Кем открытые?
>
pop3s, imaps, smtp, squid, httpd, named etc.
>> Загрузка всех модулей, возможно относящихся к netfilter,
>> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>> все работает совершенно нормально и обычно.
>> Подскажите, плз, как растормозиться.
>>
> Прочесть доку к iptables на предмет просмотра счетчиков. Увидеть
> куда пакеты попадают реально и сделать выводы.
Вау! Пошел изучать. Видимо это и есть заветное направление
> Убедиться, что
> iptables не запускается дважды с разными настройками.
М... а для _возможного_ первого гипотетического запуска
#service iptables stop
недостаточно?
> И хранить
> рабочий набор правил там, где ему отведено место в системе.
>
>> И еще: как убедиться, что работает автозагрузка модулей и все
>> необходимые библиотеки на месте и доступны?
>>
>>
> А lsmod не помогает?
>
Помогает. Помогает увидеть что уже загружено, но не может дать никакой
информации чего не хватает
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
` (2 preceding siblings ...)
2007-03-12 13:52 ` Andrii Dobrovol`s`kii
@ 2007-03-12 17:20 ` Andrey Kuleshov
2007-03-13 6:34 ` Dmitriy L. Kruglikov
3 siblings, 1 reply; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-12 17:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте!
Похоже, тема исчерпана, направления изысканий понятны.
Закрываем обсуждение.
Спасибо всем!
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 17:20 ` Andrey Kuleshov
@ 2007-03-13 6:34 ` Dmitriy L. Kruglikov
2007-03-13 11:42 ` Andrey Kuleshov
0 siblings, 1 reply; 22+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-03-13 6:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Понедельник, 12 Март 2007 года,
Andrey Kuleshov писал(а) в сообщении:
AK == Andrey Kuleshov
AK> Похоже, тема исчерпана, направления изысканий понятны.
AK> Закрываем обсуждение.
Э, нет ....
По результатам изысканий, будь добр, отчитайся...
Дабы на грабельку не наступил идущий следом :)
Или отвечающий имел возможность давать более толковые советы.
Ну и просто ж интересно...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Прекрасна молодость, когда она в движении и знает, куда приложить свои силы.
-- Менандр
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-12 17:19 ` Andrey Kuleshov
@ 2007-03-13 9:29 ` Andrii Dobrovol`s`kii
0 siblings, 0 replies; 22+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-03-13 9:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 2291 bytes --]
Andrey Kuleshov пишет:
> Andrii Dobrovol`s`kii wrote:
>> Andrey Kuleshov пишет:
>>
>>> Здравствуйте!
>>>
>>> Огреб совершенно странные грабли: не работает файрвол. Видимые
>>> проявления: после запуска инит скритпа все порты оказываются наглухо
>>> закрытыми. Инициализационный скрипт был проверен и обкатан в течении
>>> неск. лет, никаких проблем до последнего раза. #iptables -L выглядит
>>> нужным образом.
>>>
>> Нужным это каким?
>>
> Все таблицы/цепочки на месте
Это хорошо.
>>> #service iptables stop приводит открытые порты в видимое
>>> состояние.
>>>
>> Только открытые? Кем открытые?
>>
> pop3s, imaps, smtp, squid, httpd, named etc.
А, дошло :) , те, что прослушиваются запущенными службами.
>>> Загрузка всех модулей, возможно относящихся к netfilter,
>>> эффекта не дала. На тестовой системе ситуация не воспроизводится, там
>>> все работает совершенно нормально и обычно.
>>> Подскажите, плз, как растормозиться.
>>>
>> Прочесть доку к iptables на предмет просмотра счетчиков. Увидеть
>> куда пакеты попадают реально и сделать выводы.
> Вау! Пошел изучать. Видимо это и есть заветное направление
>> Убедиться, что
>> iptables не запускается дважды с разными настройками.
> М... а для _возможного_ первого гипотетического запуска
> #service iptables stop
> недостаточно?
Бывает по всякому... Ведь что-то же не работает... Лучше до запуска
скрипта самому убедиться, что iptables не активен.
>> И хранить
>> рабочий набор правил там, где ему отведено место в системе.
>>
>>> И еще: как убедиться, что работает автозагрузка модулей и все
>>> необходимые библиотеки на месте и доступны?
>>>
>>>
>> А lsmod не помогает?
>>
> Помогает. Помогает увидеть что уже загружено, но не может дать никакой
> информации чего не хватает
>
Это да. Что нужно загружать помогает понять документация... ;) Ну и
коллеги при прямых вопросах...
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] iptables не открывает порты
2007-03-13 6:34 ` Dmitriy L. Kruglikov
@ 2007-03-13 11:42 ` Andrey Kuleshov
0 siblings, 0 replies; 22+ messages in thread
From: Andrey Kuleshov @ 2007-03-13 11:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov wrote:
> На календаре было: Понедельник, 12 Март 2007 года,
> Andrey Kuleshov писал(а) в сообщении:
>
> AK == Andrey Kuleshov
>
> AK> Похоже, тема исчерпана, направления изысканий понятны.
> AK> Закрываем обсуждение.
> Э, нет ....
> По результатам изысканий, будь добр, отчитайся...
>
Ага. Как только удастся все это незаметно сладить: по иронии Судьбы
заклинившая система находится на площадке заказчика, на глазах которого
нет ни возможности, ни времени экспериментировать. Так что это совсем
нескоро.
Из исследованного: не работает таблица filter, PREROUTING и REDIRECT в
nat включаются/выключаются по пока неизвестным законам.
> Дабы на грабельку не наступил идущий следом :)
>
Гг. Так тут приговор уже известен: не пользуйтесь моим скриптом.
> Или отвечающий имел возможность давать более толковые советы.
>
> Ну и просто ж интересно...
>
Ой, а как мне было интересно!...
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 22+ messages in thread
end of thread, other threads:[~2007-03-13 11:42 UTC | newest]
Thread overview: 22+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-03-06 12:37 [Sysadmins] iptables не открывает порты Andrey Kuleshov
2007-03-06 12:58 ` Avramenko Andrew
2007-03-06 13:09 ` Andrey Kuleshov
2007-03-07 9:29 ` Andrey Kuleshov
2007-03-07 9:36 ` Avramenko Andrew
2007-03-07 9:37 ` Dmitriy L. Kruglikov
2007-03-07 9:37 ` Eugene Ostapets
2007-03-09 13:40 ` Вадим Илларионов
2007-03-12 9:46 ` Andrey Kuleshov
2007-03-12 10:00 ` Dmitriy L. Kruglikov
2007-03-12 11:25 ` Andrey Kuleshov
2007-03-12 11:53 ` Dmitriy L. Kruglikov
2007-03-12 13:23 ` Avramenko Andrew
2007-03-12 17:08 ` Andrey Kuleshov
2007-03-12 17:11 ` Andrey Kuleshov
2007-03-12 10:17 ` Marat Khayrullin
2007-03-12 13:52 ` Andrii Dobrovol`s`kii
2007-03-12 17:19 ` Andrey Kuleshov
2007-03-13 9:29 ` Andrii Dobrovol`s`kii
2007-03-12 17:20 ` Andrey Kuleshov
2007-03-13 6:34 ` Dmitriy L. Kruglikov
2007-03-13 11:42 ` Andrey Kuleshov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git