Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » iptables - komunikaty
#1 2015-12-11 20:42:45
Novi-cjusz - 
Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
iptables - komunikaty
Po kilku dniach lamiglowek chcialem sprawdzic wlasny skrypt iptables na Jessie.
Najpierw staralem sie je zlokalizowac i dowiedziec wiecej za pomoca kilku komend:
Kod:
root@debian:/home/robin# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@debian:/home/robin# systemctl enable iptables
Failed to execute operation: No such file or directory
root@debian:/home/robin# chkconfig firewalld off
bash: chkconfig: command not found
root@debian:/home/robin# service --status-all
[ + ] acpid
[ - ] alsa-utils
[ - ] anacron
[ + ] atd
[ + ] avahi-daemon
[ - ] bluetooth
[ - ] bootlogs
[ - ] bootmisc.sh
[ - ] checkfs.sh
[ - ] checkroot-bootclean.sh
[ - ] checkroot.sh
[ + ] console-setup
[ + ] cron
[ + ] cups
[ + ] cups-browsed
[ + ] dbus
[ + ] exim4
[ + ] gdm3
[ + ] gdomap
[ - ] hostname.sh
[ - ] hwclock.sh
[ + ] kbd
[ + ] keyboard-setup
[ - ] killprocs
[ + ] kmod
[ + ] minissdpd
[ - ] motd
[ - ] mountall-bootclean.sh
[ - ] mountall.sh
[ - ] mountdevsubfs.sh
[ - ] mountkernfs.sh
[ - ] mountnfs-bootclean.sh
[ - ] mountnfs.sh
[ + ] netfilter-persistent
[ + ] network-manager
[ + ] networking
[ + ] nfs-common
[ - ] pppd-dns
[ + ] procps
[ + ] rc.local
[ - ] rmnologin
[ + ] rpcbind
[ + ] rsyslog
[ + ] saned
[ - ] sendsigs
[ + ] speech-dispatcher
[ + ] udev
[ + ] udev-finish
[ - ] umountfs
[ - ] umountnfs.sh
[ - ] umountroot
[ + ] urandom
[ - ] x11-common
root@debian:/home/robin# service --status-all | grep netfilter-persistent
[ + ] netfilter-persistent
root@debian:/home/robin# iptables -vL
Chain INPUT (policy ACCEPT 1361 packets, 497K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1339 packets, 150K bytes)
pkts bytes target prot opt in out source destination
root@debian:/home/robin# ip6tables -vL
Chain INPUT (policy ACCEPT 1235 packets, 1062K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1167 packets, 169K bytes)
pkts bytes target prot opt in out source destination root@debian:/home/robin# journalctl -b -p err
-- Logs begin at Fri 2015-12-11 10:28:40 GMT, end at Fri 2015-12-11 18:07:17 GMT
Dec 11 10:28:45 debian minissdpd[548]: setsockopt(udp, IP_ADD_MEMBERSHIP)(0.0.0.
Dec 11 10:28:47 debian kernel: r8169 0000:02:00.0: firmware: failed to load rtl_
Dec 11 10:28:56 debian pulseaudio[1016]: [pulseaudio] pid.c: Daemon already runn
Dec 11 14:56:08 debian systemd-udevd[6464]: inotify_add_watch(6, /dev/sdb1, 10)
root@debian:/home/robin# systemd-analyze blame
3.923s exim4.service
3.212s ModemManager.service
3.168s NetworkManager.service
2.910s accounts-daemon.service
2.463s alsa-restore.service
2.434s systemd-logind.service
2.423s pppd-dns.service
2.369s nfs-common.service
2.322s rc-local.service
2.320s speech-dispatcher.service
2.320s gdomap.service
2.319s minissdpd.service
2.217s avahi-daemon.service
740ms keyboard-setup.service
545ms rsyslog.service
526ms rpcbind.service
511ms systemd-modules-load.service
510ms networking.service
457ms kbd.service
454ms systemd-tmpfiles-setup-dev.service
418ms packagekit.service
368ms polkitd.service
298ms systemd-tmpfiles-setup.service
274ms dev-mqueue.mount
274ms dev-hugepages.mount
273ms sys-kernel-debug.mount
258ms systemd-udev-trigger.service
257ms systemd-setup-dgram-qlen.service
246ms colord.service
212ms user@117.service
210ms saned.service
199ms console-setup.service
159ms kmod-static-nodes.service
107ms systemd-journal-flush.service
106ms systemd-backlight@backlight:eeepc-wmi.service
102ms systemd-user-sessions.service
93ms udisks2.service
85ms systemd-random-seed.service
82ms gdm.service
79ms systemd-tmpfiles-clean.service
74ms wpa_supplicant.service
70ms systemd-update-utmp.service
59ms upower.service
46ms systemd-sysctl.service
39ms rtkit-daemon.service
36ms udev-finish.service
19ms systemd-remount-fs.service
15ms user@1000.service
14ms netfilter-persistent.service
12ms systemd-udevd.service
4ms systemd-update-utmp-runlevel.service
1ms sys-fs-fuse-connections.mount
root@debian:/home/robin# systemctl status iptables.service
● iptables.service
Loaded: not-found (Reason: No such file or directory)
Active: inactive (dead)
root@debian:/home/robin# systemctl status iptables.service
● iptables.service
Loaded: not-found (Reason: No such file or directory)
Active: inactive (dead)
root@debian:/home/robin# systemctl status netfilter-persistent.service
● netfilter-persistent.service - netfilter persistent configuration
Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled)
Active: active (exited) since Fri 2015-12-11 17:40:45 GMT; 43min ago
Process: 8805 ExecStop=/usr/sbin/netfilter-persistent stop (code=exited, status=1/FAILURE)
Process: 8808 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS)
Main PID: 8808 (code=exited, status=0/SUCCESS)
CGroup: /system.slice/netfilter-persistent.serviceOdnosze wrazenie, ze te komendy sa niespojne.
Na temat iptables na Debian8 w kontekscie Systemd, jest wyjatkowo malo informacji, natomiast wiele o bugach.
Czy iptables w Jessie nazywa sie netfilter-persistent?
Bede wdzieczny za kilka slow naprowadzenia.
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#2 2015-12-12 17:26:34
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
Poczytalem o narzedziu administracyjnym systemd i komendzie systemctl.
Zastosowalem wszystkie komendy po kolei.
Nie rozumiem:
- czy iptables jest natywnie zainstalowana w Jessie i wymaga tylko uruchomienia?
- nie jest zainstalowana natywnie i trzeba ja najpierw instalowac a dopiero nastepnie uruchomic?
Co mam robic w tej sytuacji, kiedy wyniki polecen w terminalu sa sprzeczne?
Prosze o 2 slowa lub jeden sensowny link (byle nie z gatunku tych "pisz pan na Berdyczow")
Najpierw:
Kod:
root@debian:/home/robin# iptables -L -n -v Chain INPUT (policy ACCEPT 19945 packets, 22M bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 20915 packets, 3134K bytes) pkts bytes target prot opt in out source destination
Pozniej:
Kod:
root@debian:/home/robin# service iptables status ● iptables.service Loaded: not-found (Reason: No such file or directory) Active: inactive (dead) root@debian:/home/robin# systemctl start iptables.service Failed to start iptables.service: Unit iptables.service failed to load: No such file or directory. root@debian:/home/robin# systemctl is-enabled iptables.service; echo $? Failed to get unit file state for iptables.service: No such file or directory
Jak to wytlumaczyc?
Ostatnio edytowany przez Novi-cjusz (2015-12-12 18:44:54)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#3 2015-12-12 19:04:09
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables - komunikaty
Daj sobie spokój z SystemD w kontekście firewalla.
Jeśli masz tam taki folder:
Kod:
/etc/network/if-pre-up.d/
To zrób sobie skrypta:
np:
Kod:
nano /etc/network/if-pre-up.d/firewall
wklejasz tam:
Kod:
#!/bin/sh iptables -F iptables -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ip6tables -F ip6tables -X ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT ACCEPT ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
potem jeszcze:
Kod:
chmod 755 /etc/network/if-pre-up.d/firewall
I po restarcie iptables powinien być poprawnie skonfigurowany.
To najprostsza konfiguracja dla desktopa, uwzględniająca połączenia ipv4 i ipv6.
Skrypt startowy iptables w systemd wyłącz, żeby nie mieszał.
Ostatnio edytowany przez Jacekalex (2015-12-12 19:04:34)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#4 2015-12-12 19:14:33
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
W miedzyczasie:
Kod:
root@debian:/home/robin# dpkg --list | grep iptables ii iptables 1.4.21-2+b1 amd64 administration tools for packet filtering and NAT ii iptables-persistent 1.0.3 all boot-time loader for netfilter rules, iptables plugin
Bardzo dziekuje za jak zawsze perfekcyjna odpowiedz.
Chcialem tylko zrozumiec co bylo nie tak skoro mam zainstalowane iptables a nie moge wystartowac uslugi.
Przewalilem caly Internet i nic nie ma.
Chyba systemd nie jest do konca sprawny jako najnowsze narzedzie (demon) administracji uslug na Linuksie.
Wykonane. Zglaszam si juz zza zapory iptables.
Praktycznie nieodczuwalna dla szybkosci otwierania stron.
Bede sie powtarzal, ale ,,, zazdroszcze wiedzy i szacunek.
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#5 2015-12-13 02:56:54
Pakos - Członek DUG
Re: iptables - komunikaty
na sytemd uzywam iptables tak:
Kod:
root@ns332131:/home/pakos/Downloads# systemctl status netfilter-persistent.service ● netfilter-persistent.service - netfilter persistent configuration Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled) Active: active (exited) since Wed 2015-09-23 22:21:45 CEST; 2 months 19 days ago Main PID: 2719 (code=exited, status=0/SUCCESS) CGroup: /system.slice/netfilter-persistent.service
+
save z iptables zapisany w:
Kod:
root@ns332131:/home/pakos/Downloads# ls /etc/iptables/ rules.v4 rules.v4.old rules.v6
dziala wysmienicie
Offline
#6 2015-12-13 13:24:38
morfik - Cenzor wirtualnego świata
Re: iptables - komunikaty
Systemd, iptables i usługi aplikujące reguły iptables to są całkiem inne rzeczy. Te dwie ostatnie się różnią tylko tym, że usługi, które nakładają reguły działają w oparciu o iptables. To ostatnie jest opcjonalne i można sobie zrobić zwykły skrypt, który będzie te reguły dodawał do iptables i taki skrypt wywołać w systemd podczas startu systemu. Ja tak mam i mi działa wszystko w porządku:
Kod:
# systemctl status morfinetwork
● morfinetwork.service - morfinetwork
Loaded: loaded (/etc/systemd/system/morfinetwork.service; enabled; vendor preset: enabled)
Active: active (exited) since Sat 2015-12-12 12:43:00 CET; 24h ago
Docs: man:iptables
man:ipset
man:tc
man:sysctl
Process: 1294 ExecStart=/bin/sh -c /etc/morfinetwork/tc.sh (code=exited, status=0/SUCCESS)
Process: 1239 ExecStart=/bin/sh -c /etc/morfinetwork/ip6tables_filter.sh (code=exited, status=0/SUCCESS)
Process: 1235 ExecStart=/bin/sh -c /etc/morfinetwork/ip6tables_nat.sh (code=exited, status=0/SUCCESS)
Process: 1229 ExecStart=/bin/sh -c /etc/morfinetwork/ip6tables_mangle.sh (code=exited, status=0/SUCCESS)
Process: 1225 ExecStart=/bin/sh -c /etc/morfinetwork/ip6tables_raw.sh (code=exited, status=0/SUCCESS)
Process: 1100 ExecStart=/bin/sh -c /etc/morfinetwork/iptables_filter.sh (code=exited, status=0/SUCCESS)
Process: 1085 ExecStart=/bin/sh -c /etc/morfinetwork/iptables_nat.sh (code=exited, status=0/SUCCESS)
Process: 1046 ExecStart=/bin/sh -c /etc/morfinetwork/iptables_mangle.sh (code=exited, status=0/SUCCESS)
Process: 904 ExecStart=/bin/sh -c /etc/morfinetwork/iptables_raw.sh (code=exited, status=0/SUCCESS)
Process: 512 ExecStart=/bin/sh -c /etc/morfinetwork/ipset.sh (code=exited, status=0/SUCCESS)
Main PID: 1294 (code=exited, status=0/SUCCESS)
CGroup: /system.slice/morfinetwork.service
Dec 12 12:42:50 morfikownia systemd[1]: Starting morfinetwork...
Dec 12 12:43:00 morfikownia systemd[1]: Started morfinetwork.Offline
#7 2015-12-13 18:41:51
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
@Pakos
U mnie teraz tak to wyglada:
Kod:
root@debian:/home/robin# systemctl status netfilter-persistent.service ● netfilter-persistent.service - netfilter persistent configuration Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled) Active: active (exited) since Sun 2015-12-13 17:21:19 GMT; 9min ago Process: 309 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS) Main PID: 309 (code=exited, status=0/SUCCESS) CGroup: /system.slice/netfilter-persistent.service Dec 13 17:21:20 debian netfilter-persistent[309]: run-parts: executing /usr/s... Dec 13 17:21:20 debian netfilter-persistent[309]: run-parts: executing /usr/s... Hint: Some lines were ellipsized, use -l to show in full.
Jedna rzecz mnie zastanawia: iptables-persistent odpowiada za podnoszenie uslugi po kolejnych rebootach, ale to jest osobny pakiet z zupelnie innym zadaniem niz iptables.
Innymi slowy jezeli jak w powyzej zalaczonym kodzie iptables - persistent jest "enabled" to znaczy, ze cala usluga iptables zabangala?
Iptables jest wlaczone:
Kod:
root@debian:/home/robin# iptables -L -n Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Szukam w necie zaawansowanych regol dla iptables ale wszedzie sa tylko dla beginnersow.
Ostatnio edytowany przez Novi-cjusz (2015-12-13 18:44:59)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#8 2015-12-13 18:45:51
thomsson - Dyskutant
- thomsson
- Dyskutant
- Zarejestrowany: 2011-10-26
Re: iptables - komunikaty
Enabled znaczy tyle, że przy starcie systemu systemd będzie sam podnosił iptables-persistent, ustawiasz to via
Kod:
systemctl enable iptables-persistent
wyłączasz autostart opcją 'disable
ilin napisał
[i]"DUG to tez moja mała ojczyzna"[/i]
Offline
#9 2015-12-13 18:49:49
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
@morfik
Systemd, iptables i usługi aplikujące reguły iptables to są całkiem inne rzeczy[/quote]
To jest wlasnie strzal w "dziesiatke" mojego problemu
Nie rozumiem tych relacji, a z netu niewiele sie na ten temat dowiedzialem.
Bylbym bardzo wdzieczny za linka w celu podszkolenia.
@thomsson
Na temat komendy "systemctl" przeczytalem kilka stron i wiele przykladow jej zastosowania.
Niestety w podany przez ciebie sposob nie moglem uruchomic uslugi iptables.
W Sieci bylo wiele podobnych przypadkow, innym ludziom to tez nie dzialalo.
Natomiast procedura podana przez Jacekalex zatrybila od pierwszego strzalu.
Przyznam, ze slowo "enabled" kojarzylem bardziej z wlaczeniem uslugi np po reboocie niz jak napisalesprzy starcie systemu systemd będzie sam podnosił iptables-persistent[/quote]
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."Offline
#10 2015-12-13 19:09:09
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: iptables - komunikaty
[quote=thomsson]Enabled znaczy tyle, że przy starcie systemu systemd będzie sam podnosił iptables-persistent, ustawiasz to via
Kod:
systemctl enable iptables-persistent
wyłączasz autostart opcją 'disable[/quote]
Nie ma takiej usługi. iptables-persistent nie służy do aktywacji zapory przy starcie systemu.
Automatyczną aktywację zapory (przed podniesieniem sieci) załatwiają odpowiednie regułki umieszczone w postaci skryptów w /etc/network/if-pre-up.d/ (tak jak podał Jacekalex) lub /usr/share/netfilter-persistent/plugins.d
systemctl status netfilter-persistent.service
● netfilter-persistent.service - netfilter persistent configuration
Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
Active: active (exited) since Sun 2015-12-13 17:53:42 GMT; 10min ago
Main PID: 438 (code=exited, status=0/SUCCESS)
CGroup: /system.slice/netfilter-persistent.service
Dec 13 17:53:41 debian systemd[1]: Starting netfilter persistent configuration...
Dec 13 17:53:42 debian netfilter-persistent[438]: [b]run-parts: executing /usr/share/netfilter-persistent/plugins.d/firewall start[/b]
Dec 13 17:53:42 debian systemd[1]: Started netfilter persistent configuration.[/quote]
To dwa [b]zupełnie inne[/b] mechanizmy:
iptables-persistent to [b]zupełnie inny[/b] mechanizm do zapisywania/wczytywania regułek do/z pliku, który może działać z tymi dwoma wcześniejszymi.
iptables-persistent + /etc/network/if-pre-up.d/:#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules[/quote]
i ostatnia opcja iptables-persistent + netfilter persistent (to co podał Pakos):File list of package iptables-persistent in sid of architecture all
/usr/share/doc/iptables-persistent/README
/usr/share/doc/iptables-persistent/changelog.gz
/usr/share/doc/iptables-persistent/copyright
[b]/usr/share/netfilter-persistent/plugins.d/15-ip4tables
/usr/share/netfilter-persistent/plugins.d/25-ip6table[/b]s[/quote]
No i można zrobić wszystko ręcznie jak w przypadku morfika.Offline
#11 2015-12-13 19:47:47
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
@yossarian
A jak zinterpretowac fakt, ze: iptables (a nie iptables-persistent) jest zainstalowan, uruchomione, liczniki dzialaja, a tymczasem:
Kod:
robin@debian:~$ systemd-analyze blame
3.286s exim4.service
3.133s ModemManager.service
3.089s networking.service
2.757s NetworkManager.service
2.395s accounts-daemon.service
2.127s netfilter-persistent.service
2.088s kbd.service
1.647s alsa-restore.service
1.625s pppd-dns.service
1.567s systemd-logind.service
1.556s rc-local.service
1.555s speech-dispatcher.service
1.555s gdomap.service
1.555s minissdpd.service
1.453s avahi-daemon.service
957ms keyboard-setup.service
884ms console-setup.service
781ms systemd-tmpfiles-setup.service
778ms systemd-journal-flush.service
620ms systemd-remount-fs.service
554ms polkitd.service
536ms systemd-modules-load.service
495ms systemd-tmpfiles-setup-dev.service
487ms rsyslog.service
467ms systemd-update-utmp.service
449ms dev-mqueue.mount
449ms dev-hugepages.mount
448ms sys-kernel-debug.mount
446ms colord.service
441ms systemd-setup-dgram-qlen.service
429ms systemd-random-seed.service
408ms systemd-backlight@backlight:eeepc-wmi.service
381ms nfs-common.service
362ms packagekit.service
235ms saned.service
183ms systemd-udev-trigger.service
167ms rpcbind.service
143ms kmod-static-nodes.service
120ms systemd-user-sessions.service
107ms gdm.service
87ms user@117.service
82ms udisks2.service
75ms wpa_supplicant.service
60ms udev-finish.service
59ms upower.service
51ms rtkit-daemon.service
46ms systemd-sysctl.service
13ms user@1000.service
12ms systemd-udevd.service
5ms systemd-update-utmp-runlevel.service
1ms sys-fs-fuse-connections.mountnie widac uslugi?
Wszystko sprowadza sie do zagadnienia, jak miec pewnosc, ze iptables "robi swoja robote" i chroni mojego kompa?
Dlaczego komenda
Kod:
sudo systemctl start iptables.service
za ta strona: http://www.dynacont.net/documentation/linux/Useful_SystemD_commands/
nie startuje tej uslugi?
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#12 2015-12-13 19:52:01
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: iptables - komunikaty
Nie startuje bo nie ma takiej usługi.
Tyle samo sensu ma wpisanie:
Kod:
sudo systemctl start zrób-mi-kawę.service
Offline
#13 2015-12-13 19:57:21
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables - komunikaty
[quote=Novi-cjusz]Wykonane. Zglaszam si juz zza zapory iptables.
Praktycznie nieodczuwalna dla szybkosci otwierania stron.
Bede sie powtarzal, ale ,,, zazdroszcze wiedzy i szacunek.[/quote]
Jeżeli już w poście nr 4 firewall działał prawidłowo, to po kiego czorta te dywagacje o SystemD?
Oczywiście cenna wiadomość, że w Systemd można przynajmniej na razie odpalać własne skrypty z poziomu usług startowych, zobaczymy jednak, czy i kiedy w miarę udoskonaleń zniknie taka możliwość.
Czy może w ogóle nie będzie można ustawiać FW po tym, kiedy Nftables i Iptables staną się częścią SystemD, czy może trochę wcześniej. :D
Ostatnio edytowany przez Jacekalex (2016-02-03 18:09:18)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#14 2015-12-13 19:58:13
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: iptables - komunikaty
2464
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:29:11)
Offline
#15 2015-12-13 20:01:08
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables - komunikaty
[quote=uzytkownikubunt]....
Ustawienia netfiltera w jądrze sprawdzasz tym poleceniem:
Kod:
iptables -L -v -n
[/quote]
Raczej:
Kod:
iptables -S iptables -t nat -S iptables -t raw -S iptables -t mangle -S
Sprawdzanie w ten sposób poszczególnych łańcuchów daje dużo bardziej czytelne wyniki.
Ostatnio edytowany przez Jacekalex (2015-12-13 20:02:24)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#16 2015-12-13 20:16:04
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
@yossarian
Nie startuje bo nie ma takiej usługi.
Tyle samo sensu ma wpisanie:[/quote]
I to to chodzi, krotkie slowa, w ramach systemd nie ma uslugi iptables.service. Koniec, kropka
Robic wg postu nr5.
@Jacekalexpo kiego czorta te dywagacje o SystemD?[/quote]
Wzielo sie stad, ze w Internecie jest sporo informacji o ludziach, ktorzy starali sie uruchomic iptables.service w ramach SystemD za pomoca komendy systemctl start iptables.service.
Teraz wiem, ze to nie dziala, a 2 najwazniejsze aspekty iptables tzn:
- automatyczne podnoszenie po kazdym reboocie
- start przed startem karty sieciowej
nalezy wykonywac wg podanych wsazowek.
Bardzo dziekuje, teraz naprawde wiele wiecej z tego (dzieki Waszej pomocy) rozumiem.
Mam jeszcze takie swoje male marzenie, zebym mogl analizowac caly egress traffic (connections only) w wersji "verbal" connmark, conntrack itd.
Ale to chyba jeszcze za wczesnie.Ostatnio edytowany przez Novi-cjusz (2015-12-13 20:22:07)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."Offline
#17 2015-12-13 20:25:14
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: iptables - komunikaty
Nie wiem skąd takie wnioski.
Skąd pomysł na jakieś iptables.service?
Poczytaj sobie:
Kod:
man iptables
Ani [tt]iptables[/tt], ani [tt]systemd[/tt] nie mają nic wspólnego z zarządzaniem usługą systemową zapory sieciowej.
Robią to zupełnie inne narzędzia: [tt]ifupdown[/tt] (korzystając ze skryptów w /etc/network/if-pre-up.d/) lub [tt]netfilter-persistent[/tt] (korzystając ze skryptów w /usr/share/netfilter-persistent/plugins.d/). Wybór zależy od potrzeb, usługi zarządzającej siecią lub osobistych preferencji.
Masz wszystko podane na tacy i to wielokrotnie, a w kółko piszesz od rzeczy.
Może zacznij w końcu czytać manuale i dokumentację. No i trochę myśleć przy tym nie zaszkodzi.
Offline
#18 2015-12-13 20:46:27
thomsson - Dyskutant
- thomsson
- Dyskutant
- Zarejestrowany: 2011-10-26
Re: iptables - komunikaty
@novi-cjusz: w zasadzie o to mi chodziło, nieprecyzyjnie to napisałem
ilin napisał
[i]"DUG to tez moja mała ojczyzna"[/i]
Offline
#19 2015-12-13 20:59:50
morfik - Cenzor wirtualnego świata
Re: iptables - komunikaty
A co do sprawdzania czy działa, to trzeba się zdać na sam init. Po to są usługi by uzależniać je od siebie. Wtedy jak jakaś kluczowa nie zadziała, to wszystkie pozostałe również się nie odpalą. Można sobie sprawdzać ręcznie przez iptables -nvL, czy iptables -S ale ja tam wolę konsolę na pulpicie i wywołanie tego poniższego polecenia:
Kod:
journalctl -b --no-pager --since -10m | ccze -m ansi && systemctl --failed --all --no-pager | ccze -m ansi && journalctl -n 0 -f | ccze -m ansi
Wygląda to mniej więcej tak:
[img]http://i.imgur.com/5zfn2Dy.png[/img]
Wtedy łatwo zauważyć, że coś jest nieodpalone tuż po zalogowaniu się w systemie.
Można by pewnie dać też w cron co 10min :
Kod:
# iptables -S -t filter | wc -l 52
I weryfikować tę liczbę odpowiednio dla każdej tablicy. xD
Ostatnio edytowany przez morfik (2015-12-13 21:20:56)
Offline
#20 2015-12-15 10:13:22
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
@morfik
U mnie wyglada to niestety inaczej:
Kod:
root@debian:/home/robin# journalctl -b --no-pager --since -10m | ccze -m ansi && systemctl --failed --all --no-pager | > ccze -m ansi && journalctl -n 0 -f | ccze -m ansi bash: ccze: command not found root@debian:/home/robin#
Dodatkowe info:
Kod:
root@debian:/home/robin# systemctl status systemd-journald
● systemd-journald.service - Journal Service
Loaded: loaded (/lib/systemd/system/systemd-journald.service; static)
Active: active (running) since Tue 2015-12-15 08:02:29 GMT; 1h 19min ago
Docs: man:systemd-journald.service(8)
man:journald.conf(5)
Main PID: 215 (systemd-journal)
Status: "Processing requests..."
CGroup: /system.slice/systemd-journald.service
└─215 /lib/systemd/systemd-journald
Dec 15 08:02:29 debian systemd-journal[215]: Runtime journal is using 8.0M (…M).
Dec 15 08:02:29 debian systemd-journal[215]: Runtime journal is using 8.0M (…M).
Dec 15 08:02:29 debian systemd-journal[215]: Journal started
Dec 15 08:02:31 debian systemd-journal[215]: Permanent journal is using 24.0…G).
Dec 15 08:02:33 debian systemd-journal[215]: Time spent on flushing to /var ....
Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
Hint: Some lines were ellipsized, use -l to show in full.
root@debian:/home/robin#Ostatnio edytowany przez Novi-cjusz (2015-12-15 10:22:03)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#21 2015-12-15 15:43:38
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: iptables - komunikaty
2467
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:29:14)
Offline
#22 2015-12-15 22:28:10
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
Skad mialem wiedziec ze ccze to: http://lintut.com/colorize-log-files-on-linux-using-ccze-tool/
Zainstalowalem i teraz jest:
Kod:
root@debian:/home/robin# journalctl -b --no-pager --since -10m | ccze -m ansi && systemctl --failed --all --no-pager | > > ccze -m ansi && journalctl -n 0 -f | ccze -m ansi -- Logs begin at Sat 2015-12-12 11:42:26 GMT, end at Tue 2015-12-15 21:17:01 GMT. -- Dec 15 21:11:40 debian iceweasel.desktop[6179]: WARNING: content window passed to PrivateBrowsingUtils.isWindowPrivate. Use isContentWindowPrivate instead (but only for frame scripts). Dec 15 21:11:40 debian iceweasel.desktop[6179]: pbu_isWindowPrivate@resource://gre/modules/PrivateBrowsingUtils.jsm:25:14 Dec 15 21:11:40 debian iceweasel.desktop[6179]: nsBrowserAccess.prototype.openURI@chrome://browser/content/browser.js:15030:21 Dec 15 21:12:52 debian org.gnome.zeitgeist.Engine[1137]: ** (zeitgeist-datahub:1324): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required Dec 15 21:13:48 debian org.gnome.zeitgeist.Engine[1137]: ** (zeitgeist-datahub:1324): WARNING **: zeitgeist-datahub.vala:209: Error during inserting events: GDBus.Error:org.gnome.zeitgeist.EngineError.InvalidArgument: Incomplete event: interpretation, manifestation and actor are required Dec 15 21:16:17 debian su[6569]: Successful su for root by robin Dec 15 21:16:17 debian su[6569]: + /dev/pts/0 robin:root Dec 15 21:16:17 debian su[6569]: pam_unix(su:session): session opened for user root by robin(uid=1000) Dec 15 21:17:01 debian CRON[7052]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 15 21:17:01 debian CRON[7053]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly) Dec 15 21:17:01 debian CRON[7052]: pam_unix(cron:session): session closed for user root bash: -m: command not found
[img]http://i.imgur.com/M3nplIf.png[/img]
Profil kolorow musze poprawic.
Musze jeszcze wyjasnic co znaczy
Kod:
bash: -m: command not found
Ostatnio edytowany przez Novi-cjusz (2015-12-15 23:00:00)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#23 2016-02-03 11:18:37
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
Wracam do tematu iptables. Optymalizacja skryptu sposrod wielu zasad wymaga min zeby:
1 - na poczatku lancucha byly regoly szczegolowe a na koncu ogolne - prosze o slowo wyjasnienia lub przyklad.
2 - najczestsze dopasowania na poczatku - jw.
3 - najprawdopodobniejsze powinny byc ustawione najwczesniej - jw.
Bede bardzo wdzieczny wszystkim za kilka pomocnych slow.
Ostatnio edytowany przez Novi-cjusz (2016-02-03 11:19:10)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#24 2016-02-03 16:15:18
morfik - Cenzor wirtualnego świata
Re: iptables - komunikaty
Robisz tak jak uważasz za stosowne, a potem patrzysz w staty i wnioski wyciągasz co do kolejności reguł. Prawda jest taka, że kolejność ma trzeciorzędne znaczenie, przynajmniej jeśli ten fw opiera się o stany pakietów. No chyba, że masz bardzo obciążony serwer www, który akceptuje setki tysięcy połączeń na minutę. xD W domowych warunkach, to nie ma znaczenia czy ta reguła ze stanem NEW do serwera www będzie 100 pozycji wcześniej czy później.
Tu jest przykład jak wydajność zapory spada wraz z ilością reguł: http://daemonkeeper.net/781/mass-blocking-ip-addresses-with-ipset/ . Wątpię byś naskrobał 1000-2000 reguł by w ogóle zobaczyć różnicę. xD
Offline
#25 2016-02-03 18:52:21
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
Oczywiscie ze nie stworze 1000 regol;-)
Tym bardziej, ze sa regoly zagniezdzone i moga byc nawet kilkustopniowo.
Poczytalem jednak o ogolnych zasadach budowy optymalnego konfigu regol iptables. Jest tego ok 20 zasad.
Iptables mnie przesladuje, znalazlem najbardziej adekwatne (moim zdaniem) porownanie, tj iptables sa jak samochody: mozna je budowac pod katem zadan do wykonania.Extremalnie, elastyczne i skuteczne a zarazem darmowe.
Szkoda, ze wg statystyk iptables uzywa ok 0,4% a SELinuxa jak pisza ponad 99% rynku. Dlaczego tak jest?
Mam wiele pytan, ale Koledzy zaraz mnie odesla do mana a tam tez na wszystko nie ma odpowiedzi np:
- czy ip4v i ip6v sie komunikuja?
- co z conntrackiem w wersji ip6v ?
- relacja tresci pliku sysctl.conf do regol firewalla. Czesc problematyki sie powtarza. Jak do tego podejsc?
Kod:
Sysctl.conf Hardening – Prevents syn-flood attacks and other network abuses. #Kernel sysctl configuration file for Red Hat Linux # # For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and # sysctl.conf(5) for more details. # Disables packet forwarding net.ipv4.ip_forward=0 # Disables IP source routing net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.lo.accept_source_route = 0 net.ipv4.conf.eth0.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 # Enable IP spoofing protection, turn on source route verification net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.lo.rp_filter = 1 net.ipv4.conf.eth0.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 # Disable ICMP Redirect Acceptance net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.lo.accept_redirects = 0 net.ipv4.conf.eth0.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 # Enable Log Spoofed Packets, Source Routed Packets, Redirect Packets net.ipv4.conf.all.log_martians = 0 net.ipv4.conf.lo.log_martians = 0 net.ipv4.conf.eth0.log_martians = 0 # Disables IP source routing net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.lo.accept_source_route = 0 net.ipv4.conf.eth0.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 # Enable IP spoofing protection, turn on source route verification net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.lo.rp_filter = 1 net.ipv4.conf.eth0.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 # Disable ICMP Redirect Acceptance net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.lo.accept_redirects = 0 net.ipv4.conf.eth0.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 # Disables the magic-sysrq key kernel.sysrq = 0 # Decrease the time default value for tcp_fin_timeout connection net.ipv4.tcp_fin_timeout = 15 # Decrease the time default value for tcp_keepalive_time connection net.ipv4.tcp_keepalive_time = 1800 # Turn off the tcp_window_scaling net.ipv4.tcp_window_scaling = 0 # Turn off the tcp_sack net.ipv4.tcp_sack = 0 # Turn off the tcp_timestamps net.ipv4.tcp_timestamps = 0 # Enable TCP SYN Cookie Protection net.ipv4.tcp_syncookies = 1 # Enable ignoring broadcasts request net.ipv4.icmp_echo_ignore_broadcasts = 1 # Enable bad error message Protection net.ipv4.icmp_ignore_bogus_error_responses = 1 # Log Spoofed Packets, Source Routed Packets, Redirect Packets net.ipv4.conf.all.log_martians = 1 # Increases the size of the socket queue (effectively, q0). net.ipv4.tcp_max_syn_backlog = 1024 # Increase the tcp-time-wait buckets pool size net.ipv4.tcp_max_tw_buckets = 1440000 # Allowed local port range net.ipv4.ip_local_port_range = 16384 65536 # Turn on execshield kernel.exec-shield=1 kernel.randomize_va_space=1 After you make the changes to the file you need to run /sbin/sysctl -p and sysctl -w net.ipv4.route.flush=1 to enable the changes without a reboot. The rules were taken from: http://ipsysctl-tutorial.frozentux.net/ipsysctl-tutorial.html
- po polsku to chyba nic nie ma na ten temat?
- co jest najslabszym punktem iptables biorac pod uwage skutecznosc obrony?
Ta tabelka z opoznieniami z twojego linku, robi wrazenie. W zaleznosci od kryterum roznice rzedu od kilkunastu do kilkudziesieciu razy.
Natomiast zastanawiam sie jak to jest praktycznie rozwiazane< stworzenie 5000 regol? Recznie? Mozna to jakos zautomatyzowac? Jak znalezc niewlasciwa regole, jak tym administrowac?
Ostatnio edytowany przez Novi-cjusz (2016-02-03 19:25:57)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » iptables - komunikaty
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00014 | SET CHARSET latin2 |
| 0.00008 | SET NAMES latin2 |
| 0.00141 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.191.187' WHERE u.id=1 |
| 0.00153 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.191.187', 1720194882) |
| 0.00075 | SELECT * FROM punbb_online WHERE logged<1720194582 |
| 0.00116 | DELETE FROM punbb_online WHERE ident='18.191.72.87' |
| 0.00102 | DELETE FROM punbb_online WHERE ident='54.36.148.106' |
| 0.00595 | DELETE FROM punbb_online WHERE ident='54.36.148.108' |
| 0.00130 | DELETE FROM punbb_online WHERE ident='54.36.148.161' |
| 0.00117 | DELETE FROM punbb_online WHERE ident='54.36.148.65' |
| 0.00096 | DELETE FROM punbb_online WHERE ident='54.36.149.0' |
| 0.00111 | DELETE FROM punbb_online WHERE ident='54.36.149.17' |
| 0.00124 | DELETE FROM punbb_online WHERE ident='54.36.149.18' |
| 0.00115 | DELETE FROM punbb_online WHERE ident='54.36.149.2' |
| 0.00080 | DELETE FROM punbb_online WHERE ident='54.36.149.64' |
| 0.00146 | DELETE FROM punbb_online WHERE ident='66.249.66.72' |
| 0.00106 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27986 AND t.moved_to IS NULL |
| 0.00024 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00488 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27986 ORDER BY p.id LIMIT 0,25 |
| 0.00102 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27986 |
| Total query time: 0.02843 s | |