Правила IPTables, загружаемые из где-нибудь
Я испытываю затруднения при соединении (значение, что я не могу соединиться ни с каким IP или портом) к моему серверу, и кажется, что проблема относилась к CSF. Я удалил CSF (путем выполнения/etc/csf/uninstall.sh) и перезапустил сервер. Я все еще не мог соединиться. Я работал iptables -F и затем service iptables save. Я затем смог соединиться, но затем после того как я перезагружаю сервер, я заблокирован снова. Я работал iptables -L чтобы видеть, существуют ли какие-либо правила все еще и я получил это:
Chain INPUT (policy DROP)
target prot opt source destination
spooflist all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP all -f anywhere anywhere
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE limit: avg 5/min burst 7 LOG level warning prefix `NULL Packets'
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN limit: avg 5/min burst 7 LOG level warning prefix `XMAS Packets'
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
LOG tcp -- anywhere anywhere tcp flags:FIN,ACK/FIN limit: avg 5/min burst 7 LOG level warning prefix `Fin Packets Scan'
DROP tcp -- anywhere anywhere tcp flags:FIN,ACK/FIN
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
DROP all -- anywhere anywhere PKTTYPE = broadcast
DROP all -- anywhere anywhere PKTTYPE = multicast
DROP all -- anywhere anywhere state INVALID
ACCEPT tcp -- 21.167.10.204.IN-ADDR.ARPA.HSIPT.AS46600.NET 18.167.10.204.IN-ADDR.ARPA.HSIPT.AS46600.NET tcp dpt:ssh
ACCEPT tcp -- 21.167.10.204.IN-ADDR.ARPA.HSIPT.AS46600.NET 18.167.10.204.IN-ADDR.ARPA.HSIPT.AS46600.NET tcp dpt:ndmp
ACCEPT tcp -- 21.167.10.204.IN-ADDR.ARPA.HSIPT.AS46600.NET 18.167.10.204.IN-ADDR.ARPA.HSIPT.AS46600.NET tcp dpt:http
ACCEPT tcp -- 21.167.10.204.IN-ADDR.ARPA.HSIPT.AS46600.NET 18.167.10.204.IN-ADDR.ARPA.HSIPT.AS46600.NET tcp dpt:https
ACCEPT icmp -- anywhere anywhere icmp echo-request state NEW,RELATED,ESTABLISHED limit: avg 30/sec burst 5
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable limit: avg 30/sec burst 5
ACCEPT icmp -- anywhere anywhere icmp redirect limit: avg 30/sec burst 5
ACCEPT icmp -- anywhere anywhere icmp time-exceeded limit: avg 30/sec burst 5
LOG all -- anywhere anywhere limit: avg 5/min burst 7 LOG level warning
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
spooflist all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
Chain spooflist (2 references)
target prot opt source destination
LOG all -- loopback/8 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- loopback/8 anywhere
LOG all -- 192.168.0.0/16 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- 192.168.0.0/16 anywhere
LOG all -- 172.16.0.0/12 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- 172.16.0.0/12 anywhere
LOG all -- 10.0.0.0/8 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- 10.0.0.0/8 anywhere
LOG all -- link-local/16 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- link-local/16 anywhere
LOG all -- default/8 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- default/8 anywhere
LOG all -- 240.0.0.0/4 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- 240.0.0.0/4 anywhere
LOG all -- 255.255.255.255 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- 255.255.255.255 anywhere
LOG all -- 168.254.0.0/16 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- 168.254.0.0/16 anywhere
LOG all -- base-address.mcast.net/4 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- base-address.mcast.net/4 anywhere
LOG all -- 240.0.0.0/5 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- 240.0.0.0/5 anywhere
LOG all -- 248.0.0.0/5 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- 248.0.0.0/5 anywhere
LOG all -- 192.0.2.0/24 anywhere LOG level warning prefix `SPOOF List Block'
DROP all -- 192.0.2.0/24 anywhere
Я работал lsmod|grep ip для наблюдения, какие модули IPTables загружаются и это кажется тем же как всеми моими другими серверами:
ipt_REJECT 2351 0
ipt_LOG 5845 0
ip6t_REJECT 4628 2
nf_conntrack_ipv6 8337 2
nf_defrag_ipv6 27236 1 nf_conntrack_ipv6
nf_conntrack 80390 2 nf_conntrack_ipv6,xt_state
ip6table_filter 2889 1
ip6_tables 18732 1 ip6table_filter
ipv6 334740 25 ip6t_REJECT,nf_conntrack_ipv6,nf_defrag_ipv6
Вот список сервисов, которые работают на запуске (и /etc/rc/rc.local файл по умолчанию),
auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
blk-availability 0:off 1:on 2:on 3:on 4:on 5:on 6:off
cgconfig 0:off 1:off 2:off 3:off 4:off 5:off 6:off
crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off
ip6tables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
lvm2-monitor 0:off 1:on 2:on 3:on 4:on 5:on 6:off
mysql 0:off 1:off 2:on 3:on 4:on 5:on 6:off
named 0:off 1:off 2:on 3:on 4:on 5:on 6:off
netconsole 0:off 1:off 2:off 3:off 4:off 5:off 6:off
netfs 0:off 1:off 2:off 3:on 4:on 5:on 6:off
network 0:off 1:off 2:on 3:on 4:on 5:on 6:off
portreserve 0:off 1:off 2:on 3:on 4:on 5:on 6:off
postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off
restorecond 0:off 1:off 2:off 3:off 4:off 5:off 6:off
rsyslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
udev-post 0:off 1:on 2:on 3:on 4:on 5:on 6:off
Еще некоторые примечания:
- Я имел KVM и OpenVZ, установленный на этом сервере, но удалил их. Я не вижу ничего, что вызвало бы правила загрузиться, но возможно я не выгляжу достаточно хорошим?
- Я не вижу правил crontab, которые влияли бы на IPTables.
Я попробовал все для удаления их, но они все еще продолжают обнаруживаться после того, как я перезагружаю. Какие-либо идеи?
0
задан ub3rst4r
7 February 2015 в 21:39
Ссылка
1 ответ
Я обнаружил проблему в скрипте, который загружался при запуске. У меня был этот скрипт , который вызывался в /etc/rc.local , чтобы Интернет правильно работал с контейнерами OpenVZ. Я удалил сценарий и теперь могу подключиться к серверу.
0