CentOS7 läd iptables nach Neustart nicht

M

Myisis

Neuling
Thread Starter
Mitglied seit
25.08.2006
Beiträge
82
Ort
Mannheim
Hallo alle zusammen,

ich habe scheinbar ein Problem....

Ich habe folgende Einstellungen an meinem Server gemacht (Quelle HowTos/Network/IPTables - CentOS Wiki):
Code: 
# iptables -P INPUT ACCEPT
# iptables -F
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -L -v

Die Einstellungen scheinen erfolgreich zu sein den ich bekommen wie im tutorial beschrieben folgendes ausgegeben:
Code: 
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Diese habe ich mit folgendem Befehl gespeichert:
Code: 
# /sbin/service iptables save

JEDOCH wenn ich den Server Reboote und mir mit "iptables -L -v" die tables anzeigen lasse, sieht das ganze wieder so aus:
Code: 
Chain INPUT (policy DROP 90 packets, 8186 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  virbr1 any     anywhere             anywhere             udp dpt:domain
    0     0 ACCEPT     tcp  --  virbr1 any     anywhere             anywhere             tcp dpt:domain
    0     0 ACCEPT     udp  --  virbr1 any     anywhere             anywhere             udp dpt:bootps
    0     0 ACCEPT     tcp  --  virbr1 any     anywhere             anywhere             tcp dpt:bootps
    0     0 ACCEPT     udp  --  virbr0 any     anywhere             anywhere             udp dpt:domain
    0     0 ACCEPT     tcp  --  virbr0 any     anywhere             anywhere             tcp dpt:domain
    0     0 ACCEPT     udp  --  virbr0 any     anywhere             anywhere             udp dpt:bootps
    0     0 ACCEPT     tcp  --  virbr0 any     anywhere             anywhere             tcp dpt:bootps
  968 82331 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:ssh
    2   140 ACCEPT     all  --  lo     any     anywhere             anywhere
   51  7007 ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  any    virbr1  anywhere             192.168.100.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr1 any     192.168.100.0/24     anywhere
    0     0 ACCEPT     all  --  virbr1 virbr1  anywhere             anywhere
    0     0 REJECT     all  --  any    virbr1  anywhere             anywhere             reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr1 any     anywhere             anywhere             reject-with icmp-port-unreachable
    0     0 ACCEPT     all  --  any    virbr0  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr0 any     192.168.122.0/24     anywhere
    0     0 ACCEPT     all  --  virbr0 virbr0  anywhere             anywhere
    0     0 REJECT     all  --  any    virbr0  anywhere             anywhere             reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 any     anywhere             anywhere             reject-with icmp-port-unreachable

Komischerweise stehen die Einstellungen aber unter "/etc/sysconfig/iptables" korrekt drin...

natürlich hab ich meister google befragt und es scheint ein bug zu sein, aber vlt. hat dennoch jemand nen tip für mich?!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Vielleicht läuft irgendein (Firewall-)Dienst erst später an und überschreibt die Regeln wieder, die zwischenzeitlich korrekt mittels iptables-restore geladen wurden.
 
captainmintalicious schrieb:
Vielleicht läuft irgendein (Firewall-)Dienst erst später an und überschreibt die Regeln wieder, die zwischenzeitlich korrekt mittels iptables-restore geladen wurden.
Zum Vergrößern anklicken....

hmm, also den firewalld service hab ich ausgeschaltet und weiterhin selbes problem.

korrigiert mich wenn ich falsch liege, aber laut der ausgabe dieser einstellungen:
Code: 
Chain INPUT (policy DROP 90 packets, 8186 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  virbr1 any     anywhere             anywhere             udp dpt:domain
    0     0 ACCEPT     tcp  --  virbr1 any     anywhere             anywhere             tcp dpt:domain
    0     0 ACCEPT     udp  --  virbr1 any     anywhere             anywhere             udp dpt:bootps
    0     0 ACCEPT     tcp  --  virbr1 any     anywhere             anywhere             tcp dpt:bootps
    0     0 ACCEPT     udp  --  virbr0 any     anywhere             anywhere             udp dpt:domain
    0     0 ACCEPT     tcp  --  virbr0 any     anywhere             anywhere             tcp dpt:domain
    0     0 ACCEPT     udp  --  virbr0 any     anywhere             anywhere             udp dpt:bootps
    0     0 ACCEPT     tcp  --  virbr0 any     anywhere             anywhere             tcp dpt:bootps
  968 82331 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:ssh
    2   140 ACCEPT     all  --  lo     any     anywhere             anywhere
   51  7007 ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  any    virbr1  anywhere             192.168.100.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr1 any     192.168.100.0/24     anywhere
    0     0 ACCEPT     all  --  virbr1 virbr1  anywhere             anywhere
    0     0 REJECT     all  --  any    virbr1  anywhere             anywhere             reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr1 any     anywhere             anywhere             reject-with icmp-port-unreachable
    0     0 ACCEPT     all  --  any    virbr0  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr0 any     192.168.122.0/24     anywhere
    0     0 ACCEPT     all  --  virbr0 virbr0  anywhere             anywhere
    0     0 REJECT     all  --  any    virbr0  anywhere             anywhere             reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 any     anywhere             anywhere             reject-with icmp-port-unreachable

ist doch der server offen wie ein scheunen tor bezüglich der ports, oder ?!
 
Wieso bist du dieser Meinung? Es sind lediglich DNS, DHCP und SSH offen. Allerdings ist die Notation mit virbr0 und virbr1 nicht wirklich aufschlussreich. Du solltest dir überlegen die Netzwerkinterfaces (persistent) umzubenennen, bspw. extern0 und intern0 oder vergleichbar. Das macht das Nachvollziehen von Firewall-Regeln wesentlich einfacher.

Und ja, CentOS bringt eine eigene Firewall-Software mit. Entweder du nutzt die dann oder deaktivierst sie. Achte bei der Suche nach Guides/HowTos explizit darauf, dass die auch für CentOS 7 gedacht sind. Mit CentOS 7 wurde SystemD eingeführt und dadurch hat sich vielen bezüglich Konfiguration und Diensten geändert.

mfg
foxxx :wink:
 
Schau dir mal 4.5.3. Comparison of firewalld to system-config-firewall and iptables bzw. 4.5.10. Using the iptables Service von der Red Hat Dokumentation an.

https://access.redhat.com/documenta...ewalld_to_system-config-firewall_and_iptables

Vermutlich wird der Service iptables beim Systemstart nicht gestartet (überprüfen mit systemctl status iptables). Mit systemctl enable iptables sollten deine IPv4 Firewall-Regeln beim Systemstart geladen werden.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh