Регистрация Войти
Рейтинг:1
Ahmed Suror avatar Server

Не удалось запустить брандмауэр IPv4 с помощью iptables

флаг uz
Ahmed Suror

я бегу ЦенОС 8 веб-сервер, и недавно у меня были некоторые проблемы с Брандмауэр CSF, ЦСЖ Служба работает, но ЛФД не удалось.

Я провел небольшое исследование и смог исправить это, выполнив iptables --flush (Однако я не уверен, что это была проблема!).

Тем не менее, кажется, что есть проблема с iptables service, когда я запускаю его, я получаю эту ошибку:

iptables.service — межсетевой экран IPv4 с iptables
   Загружено: загружено (/usr/lib/systemd/system/iptables.service; включено; предустановка поставщика: отключена)
   Активно: сбой (результат: код выхода) со вторника 22.06.2021 23:46:44 EET; 13 минут назад
  Процесс: 11362 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=1/FAILURE)
 Основной PID: 11362 (код=выход, статус=1/ОШИБКА)

22 июня 23:46:44 server.ahmedsuror.com systemd[1]: запуск брандмауэра IPv4 с помощью iptables...
22 июня, 23:46:44 server.ahmedsuror.com iptables.init[11362]: iptables: применение правил брандмауэра: iptables-restore v1.8.4 (nf_tables): цепочка «INVDROP» не существует
22 июня 23:46:44 server.ahmedsuror.com iptables.init[11362]: ошибка в строке: 5
22 июня 23:46:44 server.ahmedsuror.com iptables.init[11362]: попробуйте `iptables-restore -h' или 'iptables-restore --help' для получения дополнительной информации.
22 июня, 23:46:44 server.ahmedsuror.com iptables.init[11362]: [FAILED]
22 июня 23:46:44 server.ahmedsuror.com systemd[1]: iptables.service: основной процесс завершен, код = завершен, статус = 1/FAILURE
22 июня, 23:46:44 server.ahmedsuror.com systemd[1]: iptables.service: Ошибка с результатом «код выхода».
22 июня, 23:46:44 server.ahmedsuror.com systemd[1]: не удалось запустить брандмауэр IPv4 с помощью iptables.
Предупреждение: журнал ротировался с момента запуска модуля. Вывод журнала неполный или недоступен.

я пересмотрел /etc/sysconfig/iptables файл, и кажется, что INVDROP проблема, но после долгих исследований я обнаружил, что эта цепочка создана и управляется ЦСЖ.

В чем проблема и если ЦСЖ и ЛФД работают правильно, я должен беспокоиться?

Кроме того, я протестировал iptables с помощью Perl-скрипта по адресу /etc/CSF/csftest.pl и все в порядке:

[root@server csf]# perl csftest.pl
Тестирование ip_tables/iptable_filter... ОК
Тестирование ipt_LOG... ОК
Тестирование ipt_multiport/xt_multiport... ОК
Тестирование ipt_REJECT... ОК
Тестирование ipt_state/xt_state... ОК
Тестирование ipt_limit/xt_limit... ОК
Тестирование ipt_recent... ОК
Тестирование xt_connlimit... OK
Проверка ipt_owner/xt_owner... ОК
Тестирование iptable_nat/ipt_REDIRECT... ОК
Тестирование iptable_nat/ipt_DNAT... ОК

РЕЗУЛЬТАТ: csf должен работать на этом сервере

Любая помощь приветствуется...

511
0 + 10
csf
A.B avatar
флаг cl
A.B
Не помогая в вопросе, просто разглагольствования, но в любом случае, похоже, что этот генератор правил генерирует много ненужных правил.--ctstate INVALID уже проверяет недопустимые комбинации TCP: https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/tree/net/netfilter/nf_conntrack_proto_tcp.c?h= v4.18#n729 . Он отклоняет 23 из 32 комбинаций FIN|SYN|RST|ACK|URG . Я не вижу здесь 23 правил INVDROP (а у ctstate NEW есть специальный переключатель: `sysctl net.netfilter.nf_conntrack_tcp_loose`)
0
Ответить
Ahmed Suror avatar
флаг uz
Ahmed Suror
`Я не вижу здесь 23 правил INVDROP` Файл обрезан из-за лимита pastbin.com в 512 КБ для бесплатных пользователей, и да, там много правил INVDROP через файл может быть 23, я не считал!
0
Ответить
A.B avatar
флаг cl
A.B
Похоже, в файле отсутствуют важные части... conntrack не должен отображаться в необработанной таблице. Так что секция качалки или фильтра отсутствует.
0
Ответить
Ahmed Suror avatar
флаг uz
Ahmed Suror
Файл не редактировался вручную, возможно, он был отредактирован CSF, когда я сделал перезагрузку, также я сделал `iptables-save`, и это тот же результат с предупреждением: "# Предупреждение: таблицы iptables-legacy присутствуют, используйте iptables-legacy-save, чтобы увидеть их"
0
Ответить
Ahmed Suror avatar
флаг uz
Ahmed Suror
Также файл сохранения несколько отличается (не полностью) смотри фильтр: https://pastebin.com/dJGsF0KG
0
Ответить
Ahmed Suror avatar
флаг uz
Ahmed Suror
`но нет строки, начинающейся с :INVDROP` в фильтре есть строчки, начинающиеся с него
0
Ответить
A.B avatar
флаг cl
A.B
Я думаю, вам вообще не следует использовать службу iptables и оставить работу csf. Но вам лучше подождать кого-то, кто знает о csf, я не знаю.
0
Ответить
Ahmed Suror avatar
флаг uz
Ahmed Suror
Я согласен, кажется, что CSF справляется с этим, и доказательством является то, что тестирование iptable прошло успешно, также кажется, что CSF использует «nft netfilter», который заменяет старый «iptables». В любом случае, я очень ценю вашу помощь, большое спасибо.
0
Ответить
Michael Hampton avatar
флаг cz
Michael Hampton
Вы пытаетесь использовать csf/lfd или старые системные сценарии iptables?? Они несовместимы и не могут работать одновременно.
0
Ответить
Ahmed Suror avatar
флаг uz
Ahmed Suror
@Майкл Хэмптон Я использую **CSF/LFD**, но iptables в любом случае должен запускаться нормально, мне интересно, как вы говорите: «Они несовместимы и не могут работать одновременно»! Я знаю, что CSF или FirewallD чем-то похожи на инструменты с графическим интерфейсом, используемые для работы с iptables... Я решил проблему, сделав файл iptables пустым, однако я не уверен, что это лучшее решение.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.