Не блокируются IP в iptables

Форум — Admin

Добрый день. Вообщем, пытаюсь заблокировать несколько IP спамеров, чтобы не заходили на сайт и сервер. Для проверки что все работает добавил также свой IP. В итоге после сохранения командой service iptables save и перезагрузки сервера могу как и раньше заходить на сайт, а также логиниться на сервер через ssh.

Вот как выглядит файл /etc/sysconfig/iptables:

# Generated by iptables-save v1.4.21 on Thu Dec  8 18:42:17 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [41131:31130358]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3198 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5198 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 46.161.9.8/32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 185.121.190.12/32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 41.57.116.0/24 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 41.57.117.0/24 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Dec  8 18:42:17 2016

Команда systemctl status iptables выдаёт, что iptables запущен и работает

# systemctl status iptables
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled; vendor preset: disabled)
   Active: active (exited) since Thu 2016-12-08 18:38:34 CET; 4min 6s ago
  Process: 764 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS)
 Main PID: 764 (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/iptables.service

А вот вывод команды iptables -vnL

class="no-highlight">

# iptables -vnL (policy ACCEPT 0 packets, 0 bytes) prot opt in     out     source               destination all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED icmp --  *      *       0.0.0.0/0            0.0.0.0/0 all  --  lo     *       0.0.0.0/0            0.0.0.0/0 udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:53 udp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:53 tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:3198 tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5198 all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited all  --  *      *       46.161.9.8           0.0.0.0/0            reject-with icmp-port-unreachable all  --  *      *       185.121.190.12       0.0.0.0/0            reject-with icmp-port-unreachable all  --  *      *       41.57.116.0/24       0.0.0.0/0            reject-with icmp-port-unreachable all  --  *      *       41.57.117.0/24       0.0.0.0/0            reject-with icmp-port-unreachable (policy ACCEPT 0 packets, 0 bytes) prot opt in     out     source               destination all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited (policy ACCEPT 156K packets, 116M bytes) prot opt in     out     source               destination
Тем не менее мой IP не блокируется, подскажите пожалуйста в чём может быть причина.
Сервер CentOS Linux release 7.1.1503 (Core), работаю под root-ом


 centos, firewall, iptables, linux

  manolls
 (08.12.16 20:55:17 MSK)



5 комментариев

Не могу выполнить bash-скрипт на centos 7

Форум — General

Итак, есть VPS (виртуализация OpenVZ) на котором установлен CentOS Linux release 7.2.1511 (Core)

Необходимо из PHP выполнить на нём bash скрипт с таким содержимым: #!/bin/sh cd /home mkdir 456

В файл /etc/sudoers после строки root ALL=(ALL) ALL я добавил apache ALL=(ALL) NOPASSWD: /home/bash/1.sh

В итоге в php скрипте строка exec('sudo /home/bash/1.sh'); не работает. В логах ничего интересного не нашёл.

Что интересно, если через putty войти на сервер под рутом и выполнить: sudo /home/bash/1.sh все работает, но если выполнить команду sudo -u apache /home/bash/1.sh она выдаёт: mkdir: cannot create directory '123': Permission denied

Также заметил, что если в /home/bash/1.sh написать #!/bin/sh systemctl restart named

то команда sudo -u apache /home/bash/1.sh выдаёт: Failed to restart named.service: The name org.freedesktop.PolicyKit1 was not provided by any .service files

Но при этом sudo /home/bash/1.sh всё нормально рестартит.

В чём может быть причина, я же добавил в /etc/sudoers: apache ALL=(ALL) NOPASSWD: /home/bash/1.sh На файл /home/bash/1.sh стоят права 0755 Группа и владелец root [0]

bash, centos, linux, php

manolls
(28.03.16 01:15:45 MSK)

6 комментариев

Избранные сообщения manolls

Не блокируются IP в iptables

Не могу выполнить bash-скрипт на centos 7