LINUX.ORG.RU

Сервер не выходит в мир-сломал iptables [РЕШЕНО]

 ,


0

2

Всех с наступающим и добрый день

Ситуация: сервер работает, службы тоже, но в мир не смотрит, из мира не зайти на него. Работает VNC поэтому я могу проводить работы пока что. Дано: ОС Centos 7 arch x86_x64 статья http://serveradmin.ru/centos-7-nastroyka-servera/

1) заказал вдс 2) все работало пока не начал настраивать безопасность 3) в файле /etc/iptables_rules.sh не доглядел и оставил название интерфейса и айпи чужие 4) рестарт - связь с миром потеряна. 5) прописал айпи сервера и имя интерфейса - эффекта не дало

Как можно вернуть назад ? Как настроить iptables ?


Покажи хоть какие правила в iptables у тебя там сейчас.

alozovskoy ★★★★★ ()

Раз доступ есть к серверу по VNC, то от рута в эмуляторе консоли сбросить правила и заново сконфигурировать с автооткатом на всякий.

# iptables -F
# iptables -X
vvn_black ★★★★★ ()
Ответ на: комментарий от vvn_black

Ога, шоб зарезать себе его окончательно. Вообще господа оборачивающие вызовы iptables в sh-скрипты должны страдать ящитаю.

trancefer ★★ ()
Ответ на: комментарий от trancefer

Это ж вдска, дык, никогда не поздно вернуться к чистой системе.

vvn_black ★★★★★ ()
Ответ на: комментарий от alozovskoy

вот правила

нашел статейку http://pm4u.narod.ru/iptables.htm (бегло пробежался, вроде есть полезная инфа)

Я ввел iptables -L но часть информации убежала вверх, подняться не получается.

поэтому я глянул, что запускается /etc/sysconfig/iptables Но как скопировать и вставит сюда текст ?) выделить можно а потом как?

zenka ()
Ответ на: комментарий от trancefer

ящитаю?

иди-как отсюда, малокосос? Тут решается проблема. Это нормально, когда что-то не получается, и в сообществе помогают.

zenka ()

Решено

Я не делал команд

# iptables -F # iptables -X

Я нашел /etc/sysconfig/iptables

есть файлы ip6tables iptables

И есть ip6tables.save iptables.save

Взяв содержимое из .save я залил в основе файлы. ребут Доступ восстановлен.

Т.к. теперь есть sftp то покажу содержимое по-умолчанию и то что я ставил(цепочки правил)

zenka ()
Ответ на: Решено от zenka

info

Что было до поломки ------- # sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT

Что я поставил) ---------- # Generated by iptables-save v1.4.21 on Thu Dec 31 02:52:25 2015 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :undef_fw - [0:0] :undef_in - [0:0] :undef_out - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m state --state INVALID -j DROP -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -i ens3 -p tcp -m tcp --dport 25477 -j ACCEPT -A INPUT -i ens3 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -i ens3 -p udp -m udp --dport 123 -j ACCEPT -A INPUT -j undef_in -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m state --state INVALID -j DROP -A FORWARD -j undef_fw -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o ens3 -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A OUTPUT -j undef_out -A undef_fw -j LOG --log-prefix "-- FW — DROP " --log-level 6 -A undef_fw -j DROP -A undef_in -j LOG --log-prefix "-- IN — DROP " --log-level 6 -A undef_in -j DROP -A undef_out -j LOG --log-prefix "-- OUT — DROP " --log-level 6 -A undef_out -j DROP COMMIT # Completed on Thu Dec 31 02:52:25 2015 # Generated by iptables-save v1.4.21 on Thu Dec 31 02:52:25 2015 *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Thu Dec 31 02:52:25 2015 # Generated by iptables-save v1.4.21 on Thu Dec 31 02:52:25 2015 *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Thu Dec 31 02:52:25 2015

zenka ()
Ответ на: info от zenka
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Generated by iptables-save v1.4.21 on Thu Dec 31 02:52:25 2015
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:undef_fw - [0:0]
:undef_in - [0:0]
:undef_out - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i ens3 -p tcp -m tcp --dport 25477 -j ACCEPT
-A INPUT -i ens3 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i ens3 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -j undef_in
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -j undef_fw
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ens3 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -j undef_out
-A undef_fw -j LOG --log-prefix "-- FW — DROP " --log-level 6
-A undef_fw -j DROP
-A undef_in -j LOG --log-prefix "-- IN — DROP " --log-level 6
-A undef_in -j DROP
-A undef_out -j LOG --log-prefix "-- OUT — DROP " --log-level 6
-A undef_out -j DROP
COMMIT
# Completed on Thu Dec 31 02:52:25 2015
# Generated by iptables-save v1.4.21 on Thu Dec 31 02:52:25 2015
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Thu Dec 31 02:52:25 2015
# Generated by iptables-save v1.4.21 on Thu Dec 31 02:52:25 2015
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Thu Dec 31 02:52:25 2015
zenka ()

Прочитай текст под формой добавления сообщений на форум, после чего отредактируй своё прошлое сообщение, что бы его можно было читать.

kostik87 ★★★★★ ()
Ответ на: комментарий от trancefer

Вообще господа оборачивающие вызовы iptables в sh-скрипты должны страдать ящитаю.

Это так то центософича. Кстати говоря там даже при минимальной установке по дефолту напихивается всякой лажи в правила файера.

alozovskoy ★★★★★ ()
Ответ на: комментарий от zenka

в файле /etc/iptables_rules.sh не доглядел и оставил название интерфейса

Ну, думаю, ты уже нашел где в этом скрипте правки надо делать. Но вот ip я тут не увидел, что там за правила для него предлагаются?

alozovskoy ★★★★★ ()

[РЕШЕНО]

Есть же специальная галочка — «отметить тему как решённую». Зачем [ЭТО]?

sudopacman ★★★★★ ()
Ответ на: комментарий от alozovskoy

Руки у тебя из жоппы. В центосе можно поставить iptables-services и тогда iptables-save > /etc/sysconfig/iptables сохраняет параметры, а systemctl disable firewalld.service; systemctl enable iptables.service отключает firewalld и включает привычный iptables

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

Я centos вообще никогда не ставил, видел у товарищей. Понятное дело что все это можно отключить, но мне привычнее настраивать систему путем добавления нужных вещей а не выпиливания ненужных.

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

Надо настраивать систему ее встроенными средствами, в не обмазывая экскрементами

no-dashi ★★★★★ ()
Последнее исправление: no-dashi (всего исправлений: 1)
Ответ на: комментарий от no-dashi

Щито? При чем тут вообще встроенные средства? Я говорю что если я ставлю «голую» систему - я хочу ее такой и получить - ядро и минимальное окружение. Зачем мне тут какие-то изкоробочные параметры файера?

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

Я говорю что если я ставлю «голую» систему - я хочу ее такой и получить - ядро и минимальное окружение

Ты поставил не «ядро и минимальное окружение», а некоторый преконфигурированный набор компонентов. И в этот набор входит определенное множество сервисов и псевдосервисов. А некоторый набор в него НЕ входит. А также набор стратегий поведения. И если твой взгляд на минимальное окружение отличается от взгляда разработчиков дисрибутива, ты либо пишешь свой дистрибутив, либо свой инсталятор, либо свой сценарий для инсталятора.

А если тебе надо поменять дефотлтные стратегии, то для этого сначала надо ознакомиться со штатными средствами, поскольку ты вообще не уникальный и не неповторимый, и твою уникальную неповторимую задачу до тебя решали примерно 10 тысяч человек, и после тебя будут решать ещё столько же, а значит для её решения есть уже продуманные инструменты, которые просто не включили в выбраный тобой в самом начале пресет.

А сейчас ты выглядишь как дебил, который вместо штатного снятия фары для замены лампы (systemctl disable firewalld.service) и вставки новой (yum install iptables-services; systemctl enable iptables.service ; [настрой iptables как хочешь] ; iptables-save >/etc/sysconfig/iptables) , болгаркой выпиливает стекло, откусывает патрон, новую лампу изолентой скрепляет с проводами, и потом приматывает стекло скотчем, после чего возмущается, что фара не туда светит.

Да, и типа чтобы ты не мучался - ты свой скрипт накатывающий iptables подключил криво. Так что сделай как тебе посоветовали, и всё у тебя будет работать нормально, а не арчварьно-ректальным способом.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

ты свой скрипт накатывающий iptables подключил криво

Дружище, ты меня с ТС не путаешь?

Я лишь сказал что мне не нравится когда в минимальную поставку системы включают какие-то правила файрволла и прочее, что в моем понимании минимальная поставка это ядро (с инитом и прочим системным обвесом, необходимым для запуска системы), bash, vi и пакетный менеджер, а остальное уже накручиваешь сам.

И если твой взгляд на минимальное окружение отличается от взгляда разработчиков дисрибутива

И вот по-этому я использую Debian, а не Centos, о чем и написал - что в Centos пихают в минимальную поставку правила файера, вот и все. Я не говорил что не знаю как управлять файрволлом, я знаю что ты знаешь, а вот ТС (и многие новички) - не знает, да и вообще может даже не догадываться о том, что там какие-то правила есть.

alozovskoy ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.