не работает service iptables start
Привет. Есть проблема.
ASPLinux 11
Запускаю service iptables start
Ничего не пишет , просто переводит коретку.
Проверяю service iptables status
Пишет межсетевой экран остановлен.
Никак не могу его юзать..
А если сделать service iptables stop
А потом сделать start - то получиться тот же стоп - выгрузяться все модули...
Ничего не понимаю...
- Добавить комментарий
- 5358 просмотра
Вход
Подписка на RSS
Фото из альбома
не работает service iptables start #1
iptables -L
А вы его настраивали?
не работает service iptables start #2
IsakovAN,
прошу прощения, настраивал что ? iptables ?
Ну у меня есть готовый скрипт в которром все правила и действия для iptables.
А что ещё нужно настраивать ?
Re: не работает service iptables start #3
/etc/rc.d/init.d/iptabels start
Правила помещаются (если мне не изменяет память) в /etc/sysconfig/iptаbles.store ... А, может, в другое место. Посмотрите скрипт /etc/rc.d/init.d/iptabels - там можно понять, из какого файла он поднимает правила.
не работает service iptables start #4
Meloman,
То есть вы хотите сказать что он будет правельно работать только в том случае если есть конфиг ?
То есть если файла нет - фаервол просто не стартует ?
Re: не работает service iptables start #5
Meloman,
Вы правы
IPTABLES=iptables
IPTABLES_DATA=/etc/sysconfig/$IPTABLES
такого файла не было
Создал.
Запустил свой скрипт
Сделал iptables-save > /etc/sysconfig/iptables
И всё стало работать !
ОГРНОМНОЕ ВАМ ЧЕЛОВЕЧЕСКОЕ СПАСИБО !
Re: не работает service iptables start #6
А что, Snort автоматически вырубает iptables? А то, у меня, они после запуска Snortа затыкаются, но порты все, какие надо, все равно остаются прикрытыми, как и при работающих iptables. Проверял!
Re: не работает service iptables start #7
Прочитал тему и решил проверить у себя.
В режиме суперпользователя даю команду
получаю:
[root@localhost ~]# service iptables status
Таблица: filter
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
[root@localhost ~]#
Если даю такую команду в режиме обычного пользователя, то получаю
Команда в режиме суперпользователя (в режиме обычного пользователя опять не найдено)
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
[root@localhost ~]#
Файлы /etc/sysconfig/iptables и /etc/rc.d/init.d/iptabels у меня есть, а вот что за команда iptables-save > /etc/sysconfig/iptables я не понял.
Скажите, правильно это или нет? У меня в режиме обычного пользователя брандмауэр не работает?
И еще вопрос, если есть время. С правилами у моего файера все выглядит нормально? Или есть какие-то дыры? И самое главное, как проверить работу брандмауэра в реальности, т.е. закрыты лишние порты или нет?
Re: не работает service iptables start #8
не работает service iptables start #9
Проверить можно здесь: http://www.grc.com/x/ne.dll?bh0bkyd2
Re: не работает service iptables start #10
А не могли бы выложить здесь текст файла c правилами? Если есть.
Нужна работа http,https,pop3,smtp,ftp и ICQ (не знаю службу и порт), все остальное в запрете.
Обычный модем, подключение с динамическим IP.
Спасибо.
Re: не работает service iptables start #11
Re: не работает service iptables start #12
Забыл добавить, после этого даже не пытайтесь перейти по ссылке типа www.some-site.com:81...
Re: не работает service iptables start #13
Я возможно не совсем верно поставил вопрос. Мне просто нужен набор правил для нормальной работы в инете, что бы работал браузер, почта и ICQ. Но что бы система была нормально защищена и все ненужные порты закрыты. Если есть такой, скиньте, буру благодарен.
Кстати я протестировал комп по ссылке http://www.grc.com/x/ne.dll?bh0bkyd2 и получил
----------------------------------------------------------------------
GRC Port Authority Report created on UTC: 2006-11-24 at 08:46:16
Results from scan of ports: 0-1055
0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested
ALL PORTS tested were found to be: STEALTH.
TruStealth: FAILED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.
----------------------------------------------------------------------
Слово Stealth переводится как "хитрость", напоминает "стелс" - невидимый. Что за хитрость?
Re: не работает service iptables start #14
Вверху меню - Статьи. Там есть раздел Сетевая безопасность. Я настраивал iptables по статье Защищаем Линукс - файрвол за 10 минут.
Re: не работает service iptables start #15
Здравствуйте, у меня вопрос.
Я настроил фривол по статье, на которую приведена ссылка. Правила сохранились, проверил файл /etc/sysconfig/iptables.
1. Как теперь протестировать, закрылись ли лишние порты? По ссылке, которую здесь приводили, http://www.grc.com/x/ne.dll?bh0bkyd2 показывает ту же картинку, при нажатии на кнопку all service port получаю все квадратики зеленого цвета.
2. И вот что интересно еще, в руководстве сказано, что сначала командами
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
Мы закрываем фривол
а после командами
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT
вновь открываем, есть даже фраза
В чем здесь хитрость?
Re: не работает service iptables start #16
Re: не работает service iptables start #17
А вы его настраивали?
Вот результат команды iptables -L
[root@localhost ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spts:32768:65535
ACCEPT udp -- anywhere anywhere udp spts:32768:65535
Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
[root@localhost ~]#
Работает или нет я не знаю пока, а вот логика действительно непонятна. Сначала порты закрывавем, потом опять разрешаем все пакеты.
На всякий случай приведу еще содержимое файла /etc/sysconfig/iptables
# Generated by iptables-save v1.3.3 on Mon Dec 4 22:28:13 2006
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [5:420]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Dec 4 22:28:13 2006
Команду #iptables-save > /etc/sysconfig/iptables давал
Буду благодарен за помощь разобраться в проблеме.
Re: не работает service iptables start #18
Да, вот еще сейчас решил дать такую крманду
# sh /etc/sysconfig/iptabls
и получил
/etc/sysconfig/iptables: line 2: *filter: command not found
/etc/sysconfig/iptables: line 3: :INPUT: command not found
/etc/sysconfig/iptables: line 4: :FORWARD: command not found
/etc/sysconfig/iptables: line 5: :OUTPUT: command not found
/etc/sysconfig/iptables: line 6: :RH-Firewall-1-INPUT: command not found
/etc/sysconfig/iptables: line 7: -A: command not found
...................
/etc/sysconfig/iptables: line 23: COMMIT: command not found
Теперь совсем ничего не пойму.
не работает service iptables start #19
Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"
не работает service iptables start #20
Что-то мне ваш конфиг не очень нравиться.
Я бы порекомендовал вам заменить его на тот, который я давал вам ранее и протестировать с ним.
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
Нет. Здесь просто неправильный порядок. Опция P определяет, что делать с пакетом, который прошел всю цепочку и не был ни принят, ни отвергнут, ни отброшен. Политика по уиодчанию.
Собственно правила начинаются дальше.
Не обязательно, но было бы удобнее общаться в режиме on-line.