сервис iptables сэйвит правил, но восстанвливает вообще что-то другое
скрипты запуска и конфиг /etc/conf.d/iptables не трогаем.
Если делать /etc/init.d/iptables save, то все отлично сохраняется в /var/lib/iptables/rules-save, но при загрузке системы таблицы пусты. по rc-status iptables загружен.
если сделать рестарт /etc/init.d/iptables, то таблица все равно пусто. Вернее, есть несколько записей, но сейчас не упомню, про что там речь. Но!!!! если службу убрать из запуска, то такая таблица присутствует все равно. То есть, она не пустая, а несколько записей (блокинг всего). Работает само ядро на это дело, как я понял.
При рестарте сервиса, он эту таблицу снова забивает в /var/lib/iptables/rules-save. То есть, нужно заново забивать все правила.
Почему при загрузке системы сервис iptables не подгружает правила, которые сам же сохраняет при своем стопе.
По гуглу вот похожий момент. http://unixforum.org/index.php?showtopic=31827
- Для комментирования войдите или зарегистрируйтесь
То же столкнулся. Т.к. На
То же столкнулся. Т.к. На удалённом сервере находящемся в работе эксперементировать сложно, добавил в local.start скрипт формирующий правила занова.
Выяснится причина - отпишись.
у тебя еть только 1 выход -
у тебя еть только 1 выход - никогда, низачто ни под каким предлогом не использовать Гентоо. В ней лично для тебя ничего работать не будет, и, так как причины лежат не в гентоо, а в тенбе, му ничего поправить не можем
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
slepnoga написал(а): у тебя
для меня она лучше других ОС.
в ней работает все. без глюков. удобно всё.
а это небольшой косячок.
Думай голова, думай. Я за тебя думать не буду!
заметно по твоим постам ;).
заметно по твоим постам ;). Попробуй мак, там все для тебя ;)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Ты спецом отслеживаешь его
Ты спецом отслеживаешь его посты, что бы стало что-то заметно по его постам? А я думал, ты занятой человек;)
он настолько своеобразен, что
он настолько своеобразен, что отслеживать ничего не надо.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
slepnoga написал(а): заметно
к чему переход на личности..
Есть модератор. Обратись к нему, если считаешь, что я загрязняю портал своими нелепыми постами.
Думай голова, думай. Я за тебя думать не буду!
следите за iptables -L -n -v
Скрипт /etc/init.d/iptables крайне прост, рекомендую поизучать его. Фактически он делает `iptables -F` (flush) при stop, `iptables-save > /var/lib/iptables/rules-save` при save и iptables-restore < /var/lib/iptables/rules-save при start. Таким образом, чтобы понять что происходит, сделайте набор правил и убедитесь (`iptables -L -n -v`), что он соответсвует желаемому, потом сделайте save и посмотрите что в содержимое файла /var/lib/iptables/rules-save соответсвует желаемому. После этого start будет загружать требуемые правила. В общем, следите какие у вас правила в ядре, когда вы делаете save и всё будет работать.
нормально он все сохраняет
Если сделать save, то в файле /var/lib/iptables/rules-save сохраняются именно те правила, которые я забивал.
После загрузки, если посмотреть этот файл, то там все правила остаются, так же.
Думай голова, думай. Я за тебя думать не буду!
Собственно всё понятно
Собственно всё понятно (наконец-то добрался посмотреть).
Переменные в /etc/init.d/iptables и /etc/conf.d/iptables написаны то в верхнем то в нижем регистре.
Соответственно приводим в один регистр и всё должно начинать работать.
UPD:
Хотя нет, вроде не оно.
неправильно собранное
неправильно собранное ядро.
Ради примера, загрузим ось без запуска iptables.
по iptables -L таблица будет полностью пустой.
теперь попробуем открыть какую-нибудь страничку - получаем шиш.
смотрим на iptables -L
появляется таблица уже с правилами. /etc/init.d/iptables при этом не запущен. мы его выключали :)
upd: вероятно, сервис iptables запускается нормально, но затем ядро перекрывает такие правила своими. Не разбираюсь я в этой системе, но просто на ощупь - логика такова.
У меня так. Набодяжил с конфигом.
словом, копать опции в нетфильтре (конфиг ядра), либо попросту воспользоваться конфигом ядра live_cd Gentoo, изменив лишь конфиг проца и убрав ненужные модули типа pcmcia etc.
Думай голова, думай. Я за тебя думать не буду!
1. Логики не понял. 2. С этим
1. Логики не понял.
2. С этим ядром работало довольно давно, пока очередной раз мир не обновил. 2.6.32-hardened-r9. Если следовать твоей логике, то ядро слишком древнее и новые утилиты из iptable не могут туда загрузить правила. Ну не знаю, как-то не вериться. До этого в это же ядро грузились без проблем.
nikma написал(а): 1. Логики
Ядро (netfilter configuration) можно сконфигурировать так, что и вносить правила в цепочки не понадобится для того, что бы пакеты не ходили до поры, пока не поменяешь это уже через утилитку iptables. вот и ошибся где-то при конфигурировании. сейчас ищу config. блин. не охото грузить live_cd только для того, что бы его загрузить и выдернуть оттуда /proc/config.gz
картина видится следующей.
грузится ядро. ничего не вносится в цепочки, но какая-то фича из ядра следит за трафиком.
затем грузится утилитка iptables, дергает ядро на предмет изменений в цепочках. создаются правила.
затем что-либо хочет инета. как только оно дергает инет, ядро реагирует и заменяет всю таблицу своими правилами, забитыми в конфиге.
знаю, что жуть полную написал, ибо не знаю предмета.
Вывод сделал из того, что наблюдал за таблицей до последней сборки ядра. она всегда была пустой.
пересобрав ядро, где все модули нетфильтра перевел в ядерный режим, после загрузки и дергания инета системой, таблицы начали меняться сами, без участия iptables утилитки. на запрет. происходит это один раз. если снова руками все сбросить и забить свои правила, то цепь уже меняться не будет.
То есть, в нетфильтр конфигурэйшн есть модули, которые не нужно, что бы всегда грузились, либо нужно точно знать зачем. иначе - модулем (в настройках ядра. не в настройках OS) (по незнанию - на предмет "вдруг нужно").
надо было лишь всего две вещи оставить ядром - xtables и state match support. попробую так.
повторюсь - это мое мнение. предмет знаю никак.
дико стыдно вообще что-либо спрашивать.
Думай голова, думай. Я за тебя думать не буду!
Такая же проблема была, как
Такая же проблема была, как то сам исправил.
Попробуйте это: 1) убедится
Попробуйте это:
1) убедится что iptables стартует после старта всех интерфейсов
2) lsmod > ~/modules_with_rules #после загрузки правил и старта сервиса
lsmod > ~/modules_after_boot #сразу после ребута
diff ~/modules_with_rules ~/modules_after_boot
... Пока только такие идеи