Не работает service iptables start

Аватар пользователя ermak

Привет. Есть проблема.
ASPLinux 11

Запускаю service iptables start
Ничего не пишет , просто переводит коретку.
Проверяю service iptables status
Пишет межсетевой экран остановлен.

Никак не могу его юзать..

А если сделать service iptables stop
А потом сделать start - то получиться тот же стоп - выгрузяться все модули...

Ничего не понимаю...

Аватар пользователя IsakovAN

не работает service iptables start

iptables -L

А вы его настраивали?

Аватар пользователя ermak

не работает service iptables start

IsakovAN,
прошу прощения, настраивал что ? iptables ?
Ну у меня есть готовый скрипт в которром все правила и действия для iptables.

А что ещё нужно настраивать ?

Аватар пользователя Meloman

Re: не работает service iptables start

/etc/rc.d/init.d/iptabels start

Правила помещаются (если мне не изменяет память) в /etc/sysconfig/iptаbles.store ... А, может, в другое место. Посмотрите скрипт /etc/rc.d/init.d/iptabels - там можно понять, из какого файла он поднимает правила.

Аватар пользователя ermak

не работает service iptables start

Meloman,
То есть вы хотите сказать что он будет правельно работать только в том случае если есть конфиг ?
То есть если файла нет - фаервол просто не стартует ?

Аватар пользователя ermak

Re: не работает service iptables start

Meloman,
Вы правы
IPTABLES=iptables
IPTABLES_DATA=/etc/sysconfig/$IPTABLES
такого файла не было
Создал.
Запустил свой скрипт
Сделал iptables-save > /etc/sysconfig/iptables
И всё стало работать !

ОГРНОМНОЕ ВАМ ЧЕЛОВЕЧЕСКОЕ СПАСИБО !

Аватар пользователя RedBeard

Re: не работает service iptables start

А что, Snort автоматически вырубает iptables? А то, у меня, они после запуска Snortа затыкаются, но порты все, какие надо, все равно остаются прикрытыми, как и при работающих iptables. Проверял!

Аватар пользователя av_ugo

Re: не работает service iptables start

Прочитал тему и решил проверить у себя.
В режиме суперпользователя даю команду

Цитата:
service iptables status

получаю:

Цитата:
[root@localhost ~]# service iptables status
Таблица: filter
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

[root@localhost ~]#

Если даю такую команду в режиме обычного пользователя, то получаю

Цитата:
bash: service: command not found

Команда в режиме суперпользователя (в режиме обычного пользователя опять не найдено)

Цитата:
iptables -L

дает

Цитата:
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
[root@localhost ~]#

Файлы /etc/sysconfig/iptables и /etc/rc.d/init.d/iptabels у меня есть, а вот что за команда iptables-save > /etc/sysconfig/iptables я не понял.

Скажите, правильно это или нет? У меня в режиме обычного пользователя брандмауэр не работает?

И еще вопрос, если есть время. С правилами у моего файера все выглядит нормально? Или есть какие-то дыры? И самое главное, как проверить работу брандмауэра в реальности, т.е. закрыты лишние порты или нет?

Аватар пользователя IsakovAN

Re: не работает service iptables start

av_ugo писал(а):
Скажите, правильно это или нет? У меня в режиме обычного пользователя брандмауэр не работает?

Сравните содержимое переменной PATH(echo $PATH) у пользователя и rootа. Сопоставьте это с выводом which service и which iptables и сразу во всем разберетесь. Улыбка

av_ugo писал(а):
С правилами у моего файера все выглядит нормально? Или есть какие-то дыры? И самое главное, как проверить работу брандмауэра в реальности, т.е. закрыты лишние порты или нет?

Да, есть одна. Ваш файервол настроен на прием ВСЕГО! Т.е. не настроен вообще. Для начальной настройки рекомендую firestarter.
Для проверки работы надо перейте на другую машины и просканировать порты. Почитайте man nmap

Аватар пользователя RedBeard

не работает service iptables start

av_ugo писал(а):
И еще вопрос, если есть время. С правилами у моего файера все выглядит нормально? Или есть какие-то дыры? И самое главное, как проверить работу брандмауэра в реальности, т.е. закрыты лишние порты или нет?

Проверить можно здесь: http://www.grc.com/x/ne.dll?bh0bkyd2

Аватар пользователя av_ugo

Re: не работает service iptables start

А не могли бы выложить здесь текст файла c правилами? Если есть.
Нужна работа http,https,pop3,smtp,ftp и ICQ (не знаю службу и порт), все остальное в запрете.
Обычный модем, подключение с динамическим IP.
Спасибо.

Аватар пользователя IsakovAN

Re: не работает service iptables start

av_ugo писал(а):
Нужна работа http,https,pop3,smtp,ftp и ICQ (не знаю службу и порт), все остальное в запрете.

Вы уверены, что вам НАДО запрешать все остальное? У вас есть проблемы с ИСХОДЯЩИМ траффиком?

ВложениеРазмер
iptables.rules.txt 492 байта
Аватар пользователя IsakovAN

Re: не работает service iptables start

Забыл добавить, после этого даже не пытайтесь перейти по ссылке типа www.some-site.com:81...

Аватар пользователя av_ugo

Re: не работает service iptables start

Я возможно не совсем верно поставил вопрос. Мне просто нужен набор правил для нормальной работы в инете, что бы работал браузер, почта и ICQ. Но что бы система была нормально защищена и все ненужные порты закрыты. Если есть такой, скиньте, буру благодарен.
Кстати я протестировал комп по ссылке http://www.grc.com/x/ne.dll?bh0bkyd2 и получил

Цитата:
----------------------------------------------------------------------

GRC Port Authority Report created on UTC: 2006-11-24 at 08:46:16

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.

----------------------------------------------------------------------

Слово Stealth переводится как "хитрость", напоминает "стелс" - невидимый. Что за хитрость?

Аватар пользователя Meloman

Re: не работает service iptables start

Вверху меню - Статьи. Там есть раздел Сетевая безопасность. Я настраивал iptables по статье Защищаем Линукс - файрвол за 10 минут.

Аватар пользователя av_ugo

Re: не работает service iptables start

Здравствуйте, у меня вопрос.
Я настроил фривол по статье, на которую приведена ссылка. Правила сохранились, проверил файл /etc/sysconfig/iptables.

1. Как теперь протестировать, закрылись ли лишние порты? По ссылке, которую здесь приводили, http://www.grc.com/x/ne.dll?bh0bkyd2 показывает ту же картинку, при нажатии на кнопку all service port получаю все квадратики зеленого цвета.

2. И вот что интересно еще, в руководстве сказано, что сначала командами

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP

Мы закрываем фривол
а после командами

# iptables -A INPUT -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT

вновь открываем, есть даже фраза

Цитата:
Итак, интерфейс loopback работает и позволяет прохождение любых пакетов.

В чем здесь хитрость?

Аватар пользователя IsakovAN

Re: не работает service iptables start

av_ugo писал(а):
Я настроил фривол по статье, на которую приведена ссылка.

И где же результат вашей работы(настройки)?

av_ugo писал(а):
Как теперь протестировать, закрылись ли лишние порты? По ссылке, которую здесь приводили, http://www.grc.com/x/ne.dll?bh0bkyd2 показывает ту же картинку

nmap с внешней машины. Если скинете IP(по ICQ или PM) проверю и вышлю вам результат.
Страница может быть закеширована вашим браузером, но это мало вероятно. Надо ваши правила смотреть.

av_ugo писал(а):
В чем здесь хитрость?

Вам непонятна логика этих правил или то, почему оно у вас не работает?

Аватар пользователя av_ugo

Re: не работает service iptables start

Цитата:
iptables -L

А вы его настраивали?

Вот результат команды iptables -L

Цитата:
[root@localhost ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spts:32768:65535
ACCEPT udp -- anywhere anywhere udp spts:32768:65535

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
[root@localhost ~]#

Цитата:
Вам непонятна логика этих правил или то, почему оно у вас не работает?

Работает или нет я не знаю пока, а вот логика действительно непонятна. Сначала порты закрывавем, потом опять разрешаем все пакеты.
На всякий случай приведу еще содержимое файла /etc/sysconfig/iptables

Цитата:
# Generated by iptables-save v1.3.3 on Mon Dec 4 22:28:13 2006
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [5:420]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Dec 4 22:28:13 2006

Команду #iptables-save > /etc/sysconfig/iptables давал
Буду благодарен за помощь разобраться в проблеме.

Аватар пользователя av_ugo

Re: не работает service iptables start

Да, вот еще сейчас решил дать такую крманду
# sh /etc/sysconfig/iptabls
и получил
/etc/sysconfig/iptables: line 2: *filter: command not found
/etc/sysconfig/iptables: line 3: :INPUT: command not found
/etc/sysconfig/iptables: line 4: :FORWARD: command not found
/etc/sysconfig/iptables: line 5: :OUTPUT: command not found
/etc/sysconfig/iptables: line 6: :RH-Firewall-1-INPUT: command not found
/etc/sysconfig/iptables: line 7: -A: command not found
...................
/etc/sysconfig/iptables: line 23: COMMIT: command not found

Теперь совсем ничего не пойму.

Цитата:
Если скинете IP(по ICQ или PM) проверю и вышлю вам результат.

Нам нужно одновременно быть в on-line?

Аватар пользователя DRVTiny

не работает service iptables start

Цитата:
Теперь совсем ничего не пойму

Так чего тут не понимать-то? /etc/sysconfig/iptables - это же не shell-скрипт! Это просто пригодный для загрузки "дамп" правил фаерволла. Собственно, загружается этот дамп командой iptables-restore /etc/sysconfig/iptables

Аватар пользователя IsakovAN

не работает service iptables start

Что-то мне ваш конфиг не очень нравиться. Улыбка
Я бы порекомендовал вам заменить его на тот, который я давал вам ранее и протестировать с ним.

av_ugo писал(а):
Работает или нет я не знаю пока, а вот логика действительно непонятна. Сначала порты закрывавем, потом опять разрешаем все пакеты.

av_ugo писал(а):
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP

Нет. Здесь просто неправильный порядок. Опция P определяет, что делать с пакетом, который прошел всю цепочку и не был ни принят, ни отвергнут, ни отброшен. Политика по уиодчанию.
Собственно правила начинаются дальше.

av_ugo писал(а):
Нам нужно одновременно быть в on-line?

Не обязательно, но было бы удобнее общаться в режиме on-line.

RSS-материал