บรรจวบ เข้าสู่ระบบ
Score:1
Ahmed Suror avatar Server

ไม่สามารถเริ่มไฟร์วอลล์ IPv4 ด้วย iptables

ธง uz
Ahmed Suror

ฉันกำลังวิ่ง เซ็นโอเอส 8 เว็บเซิร์ฟเวอร์ และเมื่อเร็ว ๆ นี้ฉันมีปัญหากับ ไฟร์วอลล์ CSF, น้ำไขสันหลัง บริการกำลังทำงานอยู่ แต่ แอล.เอฟ.ดี ล้มเหลว

ฉันทำการค้นคว้าและฉันก็สามารถแก้ไขได้ด้วยการทำ iptables --ฟลัช (ฉันไม่แน่ใจว่ามันเป็นปัญหาอย่างไรก็ตาม!)

แต่ดูเหมือนว่าจะมีปัญหากับ iptables บริการ เมื่อฉันเริ่มต้น ฉันได้รับข้อผิดพลาดนี้:

iptables.service - ไฟร์วอลล์ IPv4 พร้อม iptables
   โหลดแล้ว: โหลดแล้ว (/usr/lib/systemd/system/iptables.service; เปิดใช้งาน; การตั้งค่าล่วงหน้าของผู้ขาย: ปิดใช้งาน)
   ใช้งานอยู่: ล้มเหลว (ผลลัพธ์: exit-code) ตั้งแต่วันอังคารที่ 2021-06-22 23:46:44 EET; 13 นาทีที่แล้ว
  กระบวนการ: 11362 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=1/FAILURE)
 PID หลัก: 11362 (รหัส=ออก สถานะ=1/ล้มเหลว)

22 มิ.ย. 23:46:44 server.ahmedsuror.com systemd[1]: กำลังเริ่มไฟร์วอลล์ IPv4 ด้วย iptables...
22 มิ.ย. 23:46:44 server.ahmedsuror.com iptables.init[11362]: iptables: การใช้กฎไฟร์วอลล์: iptables-restore v1.8.4 (nf_tables): ไม่มีเชน 'INVDROP'
22 มิถุนายน 23:46:44 server.ahmedsuror.com iptables.init[11362]: เกิดข้อผิดพลาดที่บรรทัด: 5
22 มิถุนายน 23:46:44 server.ahmedsuror.com iptables.init[11362]: ลอง `iptables-restore -h' หรือ 'iptables-restore --help' สำหรับข้อมูลเพิ่มเติม
22 มิ.ย. 23:46:44 server.ahmedsuror.com iptables.init[11362]: [ล้มเหลว]
22 มิ.ย. 23:46:44 server.ahmedsuror.com systemd[1]: iptables.service: ออกจากกระบวนการหลักแล้ว, รหัส=ออก, สถานะ=1/ล้มเหลว
22 มิ.ย. 23:46:44 server.ahmedsuror.com systemd[1]: iptables.service: ล้มเหลวด้วยผลลัพธ์ 'exit-code'
22 มิถุนายน 23:46:44 server.ahmedsuror.com systemd[1]: ไม่สามารถเริ่มไฟร์วอลล์ IPv4 ด้วย iptables
คำเตือน: วารสารถูกหมุนเวียนตั้งแต่เริ่มต้นหน่วย เอาต์พุตบันทึกไม่สมบูรณ์หรือไม่พร้อมใช้งาน

ฉันได้แก้ไข /etc/sysconfig/iptables ไฟล์และดูเหมือนว่าไฟล์ INVDROP ห่วงโซ่คือปัญหา แต่หลังจากการวิจัยเป็นเวลานานฉันพบว่าห่วงโซ่นี้สร้างและจัดการโดย น้ำไขสันหลัง.

ปัญหาคืออะไรและถ้า น้ำไขสันหลัง และ แอล.เอฟ.ดี กำลังทำงานอย่างถูกต้อง ฉันควรรบกวนหรือไม่

นอกจากนี้ ฉันได้ทดสอบ iptables โดยใช้สคริปต์ Perl ที่ /etc/csf/csftest.pl และทุกอย่างก็โอเค:

[root@server csf]# perl csftest.pl
กำลังทดสอบ ip_tables/iptable_filter...ตกลง
กำลังทดสอบ ipt_LOG...ตกลง
กำลังทดสอบ ipt_multiport/xt_multiport...ตกลง
กำลังทดสอบ ipt_REJECT...ตกลง
กำลังทดสอบ ipt_state/xt_state...ตกลง
กำลังทดสอบ ipt_limit/xt_limit...ตกลง
กำลังทดสอบ ipt_recent...ตกลง
กำลังทดสอบ xt_connlimit...ตกลง
กำลังทดสอบ ipt_owner/xt_owner...ตกลง
กำลังทดสอบ iptable_nat/ipt_REDIRECT...ตกลง
กำลังทดสอบ iptable_nat/ipt_DNAT...ตกลง

ผลลัพธ์: csf ควรทำงานบนเซิร์ฟเวอร์นี้

ความช่วยเหลือใด ๆ ที่ชื่นชมอย่างมาก ...

511
0 + 10
csf
A.B avatar
cl flag
A.B
ไม่ได้ช่วยคำถาม แต่เป็นการคุยโว แต่อย่างไรก็ตาม ดูเหมือนว่าตัวสร้างกฎนี้สร้างกฎที่ไม่จำเป็นจำนวนมาก--ctstate INVALID ตรวจสอบคอมโบ TCP ที่ไม่ถูกต้องแล้ว: https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/tree/net/netfilter/nf_conntrack_proto_tcp.c?h= v4.18#n729 . มันปฏิเสธคอมโบ 23 จาก 32 ของ FIN|SYN|RST|ACK|URG ฉันไม่เห็นกฎ INVDROP 23 ข้อที่นี่ (และกฎ ctstate NEW มีสวิตช์พิเศษ: `sysctl net.netfilter.nf_conntrack_tcp_loose`)
0
ตอบกลับ
Ahmed Suror avatar
uz flag
Ahmed Suror
` ฉันไม่เห็นกฎ INVDROP 23 ข้อที่นี่` ไฟล์ถูกตัดออกเนื่องจากข้อจำกัดของ pastbin.com ที่ 512 KB สำหรับผู้ใช้ฟรี และใช่ มีกฎ INVDROP มากมายผ่านไฟล์ อาจเป็น 23 ฉันไม่นับ!
0
ตอบกลับ
A.B avatar
cl flag
A.B
ดูเหมือนว่าไฟล์ขาดส่วนสำคัญ... ไม่ควรเห็น conntrack ในตารางดิบ ดังนั้นจึงไม่มีส่วนบดบังหรือตัวกรอง
0
ตอบกลับ
Ahmed Suror avatar
uz flag
Ahmed Suror
ไฟล์ไม่ได้แก้ไขด้วยตนเอง ไฟล์อาจได้รับการแก้ไขโดย CSF เมื่อฉันรีบูต นอกจากนี้ฉันยังสร้าง `iptables-save` และผลลัพธ์ก็เหมือนกันโดยมีคำเตือนว่า: "# คำเตือน: มีตาราง iptables-legacy ให้ใช้ iptables-legacy-save เพื่อดู"
0
ตอบกลับ
Ahmed Suror avatar
uz flag
Ahmed Suror
นอกจากนี้ไฟล์บันทึกยังแตกต่างกัน (ไม่ทั้งหมด) ดูตัวกรอง: https://pastebin.com/dJGsF0KG
0
ตอบกลับ
Ahmed Suror avatar
uz flag
Ahmed Suror
`แต่ไม่มีบรรทัดที่ขึ้นต้นด้วย :INVDROP` มีบรรทัดที่เริ่มต้นด้วยตัวกรอง
0
ตอบกลับ
A.B avatar
cl flag
A.B
ฉันคิดว่าคุณไม่ควรใช้บริการ iptables เลยและปล่อยให้ csf จัดการสิ่งต่างๆ แต่คุณควรรอใครสักคนที่รู้เกี่ยวกับ csf ฉันไม่รู้
0
ตอบกลับ
Ahmed Suror avatar
uz flag
Ahmed Suror
ฉันเห็นด้วย ดูเหมือนว่า CSF กำลังจัดการเรื่องนี้อยู่ และข้อพิสูจน์ก็คือการทดสอบ iptable นั้นประสบความสำเร็จ และดูเหมือนว่า CSF กำลังใช้ `nft netfilter` ซึ่งแทนที่ `iptables` ตัวเก่า อย่างไรก็ตาม ฉันขอขอบคุณสำหรับความช่วยเหลือของคุณ ขอบคุณมาก
0
ตอบกลับ
Michael Hampton avatar
cz flag
Michael Hampton
คุณกำลังพยายามใช้ csf/lfd หรือสคริปต์ iptables ของระบบแบบเก่าหรือไม่ สิ่งเหล่านี้เข้ากันไม่ได้และไม่สามารถรันพร้อมกันได้
0
ตอบกลับ
Ahmed Suror avatar
uz flag
Ahmed Suror
@ไมเคิล แฮมป์ตัน ฉันใช้ **CSF/LFD** แต่ iptables ควรเริ่มทำงานตามปกติ ฉันสงสัยว่าคุณพูดว่า: " `สิ่งเหล่านี้เข้ากันไม่ได้และไม่สามารถรันพร้อมกันไม่ได้` "! ฉันรู้ว่า CSF หรือ FirewallD เป็นเหมือนเครื่องมือ GUI ที่ใช้จัดการกับ iptables... ฉันได้แก้ปัญหาด้วยการทำให้ไฟล์ iptables ว่างเปล่า แต่ฉันไม่แน่ใจว่าจะเป็นทางออกที่ดีที่สุด
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา