PDA

Bekijk Volledige Versie : [Centos5] IPTABLES telkens leeg



Mattie
28/12/08, 11:37
Hallo, ik heb het vreemde probleem dat mijn iptables telkens leeg zijn na een tijdje:


[root@s01 ~]# iptables -I INPUT -s 123.123.123.123 -j DROP

(vlak na toevoegen)

[root@s01 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 123.123.123.123 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

(tijdje later)

[root@s01 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


OS = CentOS5

Enig idee?

DutchTSE
28/12/08, 12:03
Hallo, ik heb het vreemde probleem dat mijn iptables telkens leeg zijn na een tijdje:


[root@s01 ~]# iptables -I INPUT -s 123.123.123.123 -j DROP

(vlak na toevoegen)

[root@s01 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 123.123.123.123 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

(tijdje later)

[root@s01 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


OS = CentOS5

Enig idee?
Na het wijzigen wel "iptables save" gedraaid?

Mattie
28/12/08, 15:48
[root@s01 ~]# iptables save
Bad argument `save'
Try `iptables -h' or 'iptables --help' for more information.

En ik de help zie ik niks over save

gjtje
28/12/08, 15:52
Da's onderdeel van het init script.
/etc/init.d/iptables save

Mattie
28/12/08, 16:30
Helaas:



[root@s01 ~]# iptables -I INPUT -s 123.123.123.123 -j DROP

(meteen)

[root@s01 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 123.123.123.123 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@s01 ~]# /etc/init.d/iptables save
Saving firewall rules to /etc/sysconfig/iptables: [ OK ]

(na een tijdje)

[root@s01 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

vincentvdk
28/12/08, 17:07
Normaal mogen deze instellingen niet eomaar verdwijnen, feit is wel dat als je ze niet saved je ze na een storing of iets dergelijks kwijt bent.

Je kan ze saven met 'iptables-save'. Dan worden je rules opgeslaan in /etc/sysconfig/iptables. Ze worden dan ook autom. geladen tijden een (re)boot.

systemdeveloper
28/12/08, 18:58
Kijk eens of de boel niet gewoon in de cron open gezet wordt ? Iedereen die remote met zijn firewall aan het spelen is, heeft een cron script om elke 5 minuten of zo de boel weer open te zetten (of althans toegankelijk) ivm. er iets mis gaat met aanpassen. Misschien staat dat nog steeds zo...?

HCiZiZ
29/12/08, 16:24
Ik pas ze altijd gewoon handmatig aan in /etc/sysconfig/iptables en dan doe ik een /etc/init.d/iptables restart

Probeer dat eens en als ze weer verdwenen zijn (checken of /etc/sysconfig/iptables leeg is) moet je inderdaad maar even kijken naar 1 of andere cron of service die je bestand leeggooid.

Tim.Bracquez
29/12/08, 17:37
... even kijken naar 1 of andere cron of service die je bestand leeggooid.

Zo'n 'anti-ddos' scriptje was overlaatst het probleem bij een klant... die haalde al zijn regeltjes om de zoveel tijd uit de iptables...

Mattie
29/12/08, 23:42
Save werkt ook niet:


[root@s01 ~]# iptables -I INPUT -s 123.123.123.123 -j DROP
[root@s01 ~]# iptables-save
# Generated by iptables-save v1.3.5 on Mon Dec 29 22:34:50 2008
*nat
:PREROUTING ACCEPT [94097:6094587]
:POSTROUTING ACCEPT [5385:562525]
:OUTPUT ACCEPT [5389:563093]
COMMIT
# Completed on Mon Dec 29 22:34:50 2008
# Generated by iptables-save v1.3.5 on Mon Dec 29 22:34:50 2008
*mangle
:PREROUTING ACCEPT [11973483:789075872]
:INPUT ACCEPT [11973407:789065164]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [21742837:9675350102]
:POSTROUTING ACCEPT [21744195:9675496651]
COMMIT
# Completed on Mon Dec 29 22:34:50 2008
# Generated by iptables-save v1.3.5 on Mon Dec 29 22:34:50 2008
*filter
:INPUT ACCEPT [560:119484]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [549:127900]
-A INPUT -s 123.123.123.123 -j DROP
COMMIT
# Completed on Mon Dec 29 22:34:50 2008
[root@s01 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 123.123.123.123 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@s01 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


En wat moet ik precies in /etc/sysconfig/iptables plaatsen? niet die DROP line lijkt me?

Het enige waarvan ik eigenlijk niet weet wat het is in mn cron is dit:


*/5 * * * * root /etc/init.d/apf stop >> /dev/null 2>&1


Zou dat het zijn?

Tim.Bracquez
30/12/08, 01:26
Het enige waarvan ik eigenlijk niet weet wat het is in mn cron is dit:


*/5 * * * * root /etc/init.d/apf stop >> /dev/null 2>&1


Zou dat het zijn?

APF is een firewall die in de iptables schrijft. Waarom wordt die om de 5 min gestopt? Misschien dat die dan alle records weg haalt... even commenten zou ik zo zeggen

HCiZiZ
30/12/08, 02:55
Zoals Tim zegt: ff commenten en testen. Het is sowieso beter om een configuratiebestand te gebruiken, dan kun je tenminste achterhalen welke rules je hebt gebruikt. Dit moet er ongeveer in staan:



# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Freezer
30/12/08, 09:45
uhm, als je apf heb draaien, edit je /etc/apf/conf.apf, want die staat nog in de test mode..., die dropped inderdaad na 5 min alle settings.

# !!! Do not leave set to (1) !!!
# When set to enabled; 5 minute cronjob is set to stop the firewall. Set
# this off (0) when firewall is determined to be operating as desired.
DEVEL_MODE="0"

Kijk ook eens voor de lol als je apf -t intikt :)

Mattie
01/01/09, 12:35
Als ik dat apf weghaal uit mn cron (en in die conf op 0 zet) gebeurt er dit:


[root@s01 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- 0.0.0.0/8 anywhere
DROP all -- 1.0.0.0/8 anywhere
DROP all -- 2.0.0.0/8 anywhere
DROP all -- 5.0.0.0/8 anywhere
DROP all -- 14.0.0.0/8 anywhere
DROP all -- 23.0.0.0/8 anywhere
DROP all -- 27.0.0.0/8 anywhere
DROP all -- 31.0.0.0/8 anywhere
DROP all -- 36.0.0.0/8 anywhere
DROP all -- 37.0.0.0/8 anywhere
DROP all -- 39.0.0.0/8 anywhere
DROP all -- 42.0.0.0/8 anywhere

en dat is maar een kleine greep.
Dit gebeurt ergens 's nachts

enig idee weer?

Freezer
01/01/09, 14:36
Ik zou maar eerst eens lezen hoe afp werkt, zeker kijken of het wel/niet aan staat (persoonlijk vind ik het erg handig apf).

Zo te zien loopt er nogsteeds een crontabje oid wat je settings dropped?

Mattie
01/01/09, 17:40
Als ik die APF uitzet en dat stukje uit mn cron haal blijft ie al mn instellingen onthouden.
Alleen het probleem is dat dan ie (zonder reden?) vanalles blokkeerd zodat (bijvoorbeeld) mn gta server en irc server niet meer te bereiken is.

HCiZiZ
01/01/09, 18:50
Alles wat je wilt weten kun je gewoon op Google vinden hoor.
Als APF iets blokkeerd, heb je het dus niet goed ingesteld. Gewoon even een readme zoeken op google zodat je weet wat voor rules je moet instellen.

Nielsie
01/01/09, 18:52
Dat is nou juist precies de bedoeling van een goede firewall (wat APF zeker is). Gooi alles dicht en zet *alleen* die porten open die noodzakelijkerwijs open moeten staan (zoals bijv. je gameporten).

Kijk eens in /etc/apf/main.rules .. dat is je config bestand om porten open te zetten. Lees ook de README.apf even door. Dat is nogal belangrijk.

Mattie
02/01/09, 00:25
Ik had ergens gezien dat iptables uitging van een "Accept" en alleen als er 'misbruik' werd gemaakt van bepaalde poorten dat ie ze dicht gooide. Maar APF werkt dus andersom :) Dan ga ik me ff inlezen in daar, als ik er niet uitkom horen jullie het wel ;p
bedank!