Главная » Форум » Gentoo Linux » Системное администрирование

iptables errors [SOLVED]

fame 4 февраля, 2013 - 18:23

Доброго времени суток. При выполнении правил для iptables у меня выскакиваю ошибки которые я понятия не имею как пофиксить, прошу вашей помощи :)

Сам скрипт:

#!/bin/sh
### Скрипт конфигурации IPTables ###
#--------------СЕРВЕР------------
# Очищаем предыдущие записи
iptables -F
iptables -X
# Разрешаем локальный интерфейс
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Даем доступ в интернет (established and out)
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Простая защита от DoS-атаки
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Открываем порты
iptables -A INPUT -p udp -m multiport --dports 27015:29015,3784,6100,9987,64738 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 21,22,10011,3784,30033 -j ACCEPT
# Защита от спуфинга
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
# Защита от попытки открыть входящее соединение TCP не через SYN
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
# Закрываемся от кривого icmp
iptables -I INPUT -p icmp -f -j DROP
# Разрешение главных типов протокола ICMP
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
# Защита сервера SSH от брутфорса
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

# Security of Jo's v2 exploit
iptables -A INPUT -p udp -m udp -m string --hex-string "|a090909090909090901809a5000000|" --algo kmp -j DROP
# Security of new INPUT flooder/doser [v1.0-v1.1]
iptables -A INPUT -p udp -m udp -m string --hex-string "|d50000806e000000|" --algo kmp -m limit --limit 25/minute --limit-burst 1 -j LOG --log-prefix " [FLOOD] [14.03.2012]: "
iptables -A INPUT -p udp -m udp -m string --hex-string "|d50000806e000000|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|d51000806e000000|" --algo kmp -m limit --limit 25/minute --limit-burst 1 -j LOG --log-prefix " [FLOOD] [19.03.2012]: "
iptables -A INPUT -p udp -m udp -m string --hex-string "|d51000806e000000|" --algo kmp -j DROP
# Security of hlbrute
iptables -A INPUT -p udp -m udp -m string --hex-string "|484C4272757465|" --algo kmp -j DROP
# Security of any rcon actions!!!
iptables -A INPUT -p udp -m udp -m string --hex-string "|72636F6E|" --algo kmp -j DROP
# Accept any connect packets (steam > 500bytes)
iptables -A INPUT -p udp -m udp -m string --hex-string "|636f6e6e656374|" --algo kmp -j ACCEPT
# Limit Packets length
iptables -A INPUT -p udp -m udp -m length --length 1:1250 -j ACCEPT
iptables -A INPUT -p udp -m udp -m limit --limit 25/minute --limit-burst 1 -j LOG --log-prefix " [FLOOD] [BIGGEST PACKET]: "
iptables -A INPUT -p udp -m udp -j DROP
# Security from mass IP
iptables -А INPUT -p udp -m udp -m string --hex-string "|FFFFFFFF56|" --algo kmp -j DROP
# Security of INPUTFlood
iptables -A INPUT -p udp -m udp -m string --hex-string "|17c74a30a2fb752396b63532b1bf79b0|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|17951a20e2ab6d63d6ac7d62f1f721e057cd4270e2f1357396f66522f1ed61f0|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|178f5230e2e17d73d6bc6562f1ed29e0|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|d50000806e000000|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|ffffffff6765746368616c6c656e6765000000000000|" --algo kmp -j DROP
# Security for TF2 Flood
iptables -A INPUT -p udp -m udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A INPUT -p udp -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT 
iptables -A INPUT -p udp -j DROP 
# Security for CS:S Flood
iptables -A INPUT -p udp -m hashlimit --hashlimit-upto 101/s --hashlimit-mode srcip --hashlimit-name css -j ACCEPT
iptables -A INPUT -p udp -j DROP
iptables -A INPUT -p udp -m length --length 28 -j DROP
# Security for CS:S Socket ProcessAccept Error
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 10 -j DROP
# Drop DOS exploit packages for SRCDS games
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff54|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff54|' -j DROP`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff55|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff55|' -j DROP`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff56|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff56|' -j DROP`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff57|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff57|' -j DROP`

После выполнение скрипта:

WARNING: The state match is obsolete. Use conntrack instead.
WARNING: The state match is obsolete. Use conntrack instead.
iptables: No chain/target/match by that name.
WARNING: The state match is obsolete. Use conntrack instead.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
iptables v1.4.16.3: unknown option "iptables"
Try `iptables -h' or 'iptables --help' for more information.
WARNING: The state match is obsolete. Use conntrack instead.
WARNING: The state match is obsolete. Use conntrack instead.
‹ Не работает SNAT А есть ли софт или опция в ядре для автостарта /etc/init.d/*listener_sctipt* при попытке подключения к порту или unix-сокету? ›
»

http://bit.ly/XS73px

Автор slepnoga, дата создания 4 февраля, 2013 - 18:40.

http://bit.ly/XS73px

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

iptables -I INPUT -p tcp

Автор fame, дата создания 4 февраля, 2013 - 21:50.
iptables -I INPUT -p tcp --dport 22 -i eth0 -m conntrack --ctstate NEW -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

iptables -A INPUT -p udp -m udp -m string --hex-string "|d50000806e000000|" --algo kmp -m limit --limit 25/minute --limit-burst 1 -j LOG --log-prefix " [FLOOD] [14.03.2012]: "

iptables -A INPUT -p udp -m udp -m string --hex-string "|d51000806e000000|" --algo kmp -m limit --limit 25/minute --limit-burst 1 -j LOG --log-prefix " [FLOOD] [19.03.2012]: "

iptables -A INPUT -p udp -m udp -m limit --limit 25/minute --limit-burst 1 -j LOG --log-prefix " [FLOOD] [BIGGEST PACKET]: "

iptables -А INPUT -p udp -m udp -m string --hex-string "|FFFFFFFF56|" --algo kmp -j DROP

На эти правила ругается:
iptables: No chain/target/match by that name.

А на последнее:
iptables v1.4.16.3: unknown option "iptables"
Try `iptables -h' or 'iptables --help' for more information.

Пробовал искать в google) Нашел про модуль xt_tcpudp. При вводе modprobe xt_tcpudp нечего не выдало. Искал в ядре, тоже не нашел...

»

Хотя в lsmod он

Автор fame, дата создания 4 февраля, 2013 - 21:58.

Хотя в lsmod он присутствует...

Module                  Size  Used by
ts_bm                   1611  8
xt_connlimit            2611  1
xt_hashlimit            6511  2
xt_length               1093  2
ts_kmp                  1616  11
xt_string               1124  19
ipt_REJECT              1930  1
nf_conntrack_ipv4      10779  6
nf_defrag_ipv4          1132  1 nf_conntrack_ipv4
xt_multiport            1519  2
xt_limit                1631  5
xt_tcpudp               2200  26
xt_conntrack            2658  5
nf_conntrack           52383  3 xt_connlimit,nf_conntrack_ipv4,xt_conntrack
iptable_filter          1265  1
ip_tables              13570  1 iptable_filter
x_tables               13781  11 xt_connlimit,xt_hashlimit,xt_length,xt_string,ipt_REJECT,xt_multiport,xt_limit,xt_tcpudp,xt_conntrack,iptable_filter,ip_tables
ipv6                  226263  72
snd_ens1371            15808  0
gameport                6352  1 snd_ens1371
snd_rawmidi            15177  1 snd_ens1371
snd_seq_device          4402  1 snd_rawmidi
snd_ac97_codec         98891  1 snd_ens1371
snd_pcm                56764  2 snd_ens1371,snd_ac97_codec
processor              19509  0
ppdev                   4911  0
i2c_piix4               7512  0
i2c_core               15697  1 i2c_piix4
parport_pc             27295  0
floppy                 49870  0
thermal_sys            12372  1 processor
intel_agp              10153  1
coretemp                5559  0
microcode               7253  0
joydev                  8616  0
intel_gtt              13212  1 intel_agp
pcspkr                  1708  0
snd_timer              15490  1 snd_pcm
snd                    48645  6 snd_ens1371,snd_rawmidi,snd_seq_device,snd_ac97_codec,snd_pcm,snd_timer
snd_page_alloc          5826  1 snd_pcm
ac97_bus                1047  1 snd_ac97_codec
container               2318  0
ac                      3115  0
button                  4213  0
xts                     2672  0
gf128mul                5379  1 xts
aes_x86_64              7364  0
aes_generic            25787  1 aes_x86_64
cbc                     2492  0
sha256_generic          9270  0
libiscsi               29460  0
scsi_transport_iscsi    33333  1 libiscsi
tg3                   119004  0
libphy                 16657  1 tg3
e1000                  86321  0
fuse                   56862  1
nfs                    99850  0
lockd                  52529  1 nfs
sunrpc                144695  2 nfs,lockd
multipath               5257  0
linear                  3112  0
raid10                 32683  0
raid456                45543  0
async_raid6_recov       1170  1 raid456
async_memcpy            1143  1 raid456
async_pq                2948  1 raid456
async_xor               2058  2 raid456,async_pq
xor                     7610  1 async_xor
async_tx                1615  5 raid456,async_raid6_recov,async_memcpy,async_pq,async_xor
raid6_pq               86007  2 async_raid6_recov,async_pq
raid1                  22997  0
raid0                   6212  0
dm_snapshot            23764  0
dm_crypt               12920  0
dm_mirror              11231  0
dm_region_hash          6192  1 dm_mirror
dm_log                  7278  2 dm_mirror,dm_region_hash
dm_mod                 58216  4 dm_snapshot,dm_crypt,dm_mirror,dm_log
hid_sunplus             1322  0
hid_sony                2441  0
hid_samsung             2671  0
hid_pl                  1226  0
hid_petalynx            1819  0
hid_monterey            1418  0
hid_microsoft           2732  0
hid_logitech            6790  0
hid_gyration            1957  0
hid_ezkey               1299  0
hid_cypress             1739  0
hid_chicony             2066  0
hid_cherry              1386  0
hid_belkin              1519  0
hid_apple               4938  0
hid_a4tech              1813  0
sl811_hcd               8684  0
usbhid                 22563  0
ohci_hcd               19132  0
uhci_hcd               18665  0
usb_storage            42329  0
ehci_hcd               35855  0
usbcore               122795  7 hid_sony,sl811_hcd,usbhid,ohci_hcd,uhci_hcd,usb_storage,ehci_hcd
usb_common               811  1 usbcore
aic94xx                63760  0
libsas                 52239  1 aic94xx
lpfc                  448165  0
qla2xxx               367285  0
megaraid_sas           64541  0
megaraid_mbox          23416  0
megaraid_mm             6794  1 megaraid_mbox
megaraid               34985  0
aacraid                68149  0
sx8                    11021  0
DAC960                 61237  0
cciss                  43071  0
3w_9xxx                28826  0
3w_xxxx                20420  0
mptsas                 33098  0
scsi_transport_sas     21441  3 aic94xx,libsas,mptsas
mptfc                  10247  0
scsi_transport_fc      39330  3 lpfc,qla2xxx,mptfc
scsi_tgt                8233  1 scsi_transport_fc
mptspi                 11176  4
mptscsih               16390  3 mptsas,mptfc,mptspi
mptbase                54265  4 mptsas,mptfc,mptspi,mptscsih
atp870u                24026  0
dc395x                 26644  0
qla1280                19180  0
imm                     8573  0
parport                24760  3 ppdev,parport_pc,imm
dmx3191d                8941  0
sym53c8xx              62709  0
gdth                   72388  0
advansys               50403  0
initio                 15184  0
BusLogic               19182  0
arcmsr                 23124  0
aic7xxx               104830  0
aic79xx               109272  0
scsi_transport_spi     17393  5 mptspi,dmx3191d,sym53c8xx,aic7xxx,aic79xx
sg                     21276  0
pdc_adma                5222  0
sata_inic162x           6206  0
sata_mv                23121  0
ata_piix               21648  0
ahci                   20257  0
libahci                16707  1 ahci
sata_qstor              5005  0
sata_vsc                3842  0
sata_uli                2893  0
sata_sis                3542  0
sata_sx4                8017  0
sata_nv                18115  0
sata_via                7468  0
sata_svw                4182  0
sata_sil24              9952  0
sata_sil                7080  0
sata_promise            9585  0
pata_sl82c105           3511  0
pata_cs5530             4097  0
pata_cs5520             3543  0
pata_via                8213  0
pata_jmicron            2300  0
pata_marvell            2789  0
pata_sis               10080  1 sata_sis
pata_netcell            2098  0
pata_sc1200             2875  0
pata_pdc202xx_old       4295  0
pata_triflex            3041  0
pata_atiixp             4333  0
pata_opti               2659  0
pata_amd               10024  0
pata_ali                8896  0
pata_it8213             3331  0
pata_pcmcia             9646  0
pcmcia                 29328  1 pata_pcmcia
pcmcia_core            10414  1 pcmcia
pata_ns87415            3117  0
pata_ns87410            2673  0
pata_serverworks        4997  0
pata_artop              4721  0
pata_it821x             8161  0
pata_optidma            4430  0
pata_hpt3x2n            5334  0
pata_hpt3x3             2937  0
pata_hpt37x            10789  0
pata_hpt366             4922  0
pata_cmd64x             6715  0
pata_efar               3447  0
pata_rz1000             2614  0
pata_sil680             4474  0
pata_radisys            2811  0
pata_pdc2027x           6013  0
pata_mpiix              2751  0
libata                137310  52 libsas,pdc_adma,sata_inic162x,sata_mv,ata_piix,ahci,libahci,sata_qstor,sata_vsc,sata_uli,sata_sis,sata_sx4,sata_nv,sata_via,sata_svw,sata_sil24,sata_sil,sata_promise,pata_sl82c105,pata_cs5530,pata_cs5520,pata_via,pata_jmicron,pata_marvell,pata_sis,pata_netcell,pata_sc1200,pata_pdc202xx_old,pata_triflex,pata_atiixp,pata_opti,pata_amd,pata_ali,pata_it8213,pata_pcmcia,pata_ns87415,pata_ns87410,pata_serverworks,pata_artop,pata_it821x,pata_optidma,pata_hpt3x2n,pata_hpt3x3,pata_hpt37x,pata_hpt366,pata_cmd64x,pata_efar,pata_rz1000,pata_sil680,pata_radisys,pata_pdc2027x,pata_mpiix
»

Проблема решена подключений

Автор fame, дата создания 5 февраля, 2013 - 01:24.

Проблема решена подключений модулей в ядро.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".