Problem z iptables-restore.

[Nmar 9]

Mam problem z tym poleceniem, zawsze działało bez zarzutu ale na nowym vps ukazuje się komunikat line 55 failed - czyli koniec pliku (COMMIT). Zawsze robiłem tak, że tworzyłem plik np. /etc/reguly i dawałem:

 

 iptables-restore < /etc/reguly

 

i było ok, nie wiem czemu tutaj nie działa. Szukałem na google i nie znalazłem żadnego działającego rozwiązania tego problemu.

[Gość patrys]

Może coś nie tak z modułami na wirtualizacji, pokaż ten plik save.

[Pan Kot 1535]

Tak, to jest bardzo wielce prawdopodobne. VPS'y nie zawsze posiadają wszystkie odpowiednie moduły i przez to niektóre rulesy nie działają w ogóle.

 

Pokaż skrypt to zobaczymy co jest z nim nie tak .

[Nmar 9]

A taki podstawowy zestaw reguł sobie wklejam na początek i pozniej cos dopisuje. Zawsze to działało na innych vps. I tutaj pokazuje line 47 failed - czyli znowu COMMIT. Też właśnie z tego co czytałem załapałem, że może to być problem z jakimiś modułami ale czy można tu coś wskórać samemu czy pozostaje kontakt do boku?

 

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j DROP

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#Sendmail
-A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

#IMAP/IMAPS
-A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

#POP3itp
-A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

#  Reject all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

Edytowano Listopad 17, 2012 przez Nmar (zobacz historię edycji)

[Pan Kot 1535]

Tutaj możliwy jest brak modułu obsługującego state. Wyczyść wszystkie rulesy IPTables np. tymi 5 komendami:

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X

 

I spróbuj wklepać pojedynczą komendę:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

Jeśli pójdzie to sprawdź w iptables -L czy na pewno jest obecna.

 

 

Jeśli będzie błąd to prawdopodobnie samemu nic nie zrobisz, no chyba że to jakiś vps z KVM/XEN i masz dostęp do kernela. Jeśli do jajka dostępu nie masz (np. OpenVZ) to jedynie opcja z BOK danej firmy i błagalną prośba o doinstalowanie brakujących modułów.

Edytowano Listopad 17, 2012 przez Archi (zobacz historię edycji)