Применение конфигурации firewall (Webmin->Сеть->Межсетевой экран)

[sunny178]

Дистрибутив: Мандрива 2009.0 и в последствии 2009.1.
Поправил конфиг фаервола в Webmin->Сеть->Межсетевой экран (firewall): добавил пару машин из локалки.
Жму "Применить конфигурацию" - все отлично, все работает.

После перезагрузки Мандривы машины из локалки опять ее не видят.
Лезу в Webmin->Сеть->Межсетевой экран (firewall). Добавленные правила на месте.
Жму "Применить конфигурацию" - все отлично, все работает. ...до следующей перезагрузки.

Как бы автоприменение этой измененной конфигурации получить?

[diesel]

покажите вывод команды ipatables-save сразу после перезапуска, и когда проблема исправлена. Если будет сильно много - сохраните в файл, типа:
iptables-save > filename.txt

[sunny178]

покажите вывод команды ipatables-save сразу после перезапуска, и когда проблема исправлена. Если будет сильно много - сохраните в файл, типа:
iptables-save > filename.txt

После ребута:

Код: Выделить всё

[root@sg sg]# iptables-save
# Generated by iptables-save v1.4.3.1 on Sun Jul  5 20:45:55 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Drop - [0:0]
:Ifw - [0:0]
:Reject - [0:0]
:dropBcast - [0:0]
:dropInvalid - [0:0]
:dropNotSyn - [0:0]
:dynamic - [0:0]
:fw2net - [0:0]
:logdrop - [0:0]
:logreject - [0:0]
:net2fw - [0:0]
:reject - [0:0]
:shorewall - [0:0]
:smurfs - [0:0]
-A INPUT -j Ifw
-A INPUT -m state --state INVALID,NEW -j dynamic
-A INPUT -i eth0 -j net2fw
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j Drop
-A INPUT -j LOG --log-prefix "Shorewall:INPUT:DROP:" --log-level 6
-A INPUT -j DROP
-A FORWARD -m state --state INVALID,NEW -j dynamic
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j Reject
-A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -g reject
-A OUTPUT -o eth0 -j fw2net
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j Reject
-A OUTPUT -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -g reject
-A Drop
-A Drop -p tcp -m tcp --dport 113 -m comment --comment "Auth" -j reject
-A Drop -j dropBcast
-A Drop -p icmp -m icmp --icmp-type 3/4 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Drop -p icmp -m icmp --icmp-type 11 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Drop -j dropInvalid
-A Drop -p udp -m multiport --dports 135,445 -m comment --comment "SMB" -j DROP
-A Drop -p udp -m udp --dport 137:139 -m comment --comment "SMB" -j DROP
-A Drop -p udp -m udp --sport 137 --dport 1024:65535 -m comment --comment "SMB" -j DROP
-A Drop -p tcp -m multiport --dports 135,139,445 -m comment --comment "SMB" -j DROP
-A Drop -p udp -m udp --dport 1900 -m comment --comment "UPnP" -j DROP
-A Drop -p tcp -j dropNotSyn
-A Drop -p udp -m udp --sport 53 -m comment --comment "Late DNS Replies" -j DROP
-A Ifw -m set --set ifw_wl src -j RETURN
-A Ifw -m set --set ifw_bl src -j DROP
-A Ifw -m state --state INVALID,NEW -m psd --psd-weight-threshold 10 --psd-delay-threshold 10000 --psd-lo-ports-weight 2 --psd-hi-ports-weight 1 -j IFWLOG --log-prefix "SCAN"
-A Reject
-A Reject -p tcp -m tcp --dport 113 -m comment --comment "Auth" -j reject
-A Reject -j dropBcast
-A Reject -p icmp -m icmp --icmp-type 3/4 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Reject -p icmp -m icmp --icmp-type 11 -m comment --comment "Needed ICMP types" -j ACCEPT
-A Reject -j dropInvalid
-A Reject -p udp -m multiport --dports 135,445 -m comment --comment "SMB" -j reject
-A Reject -p udp -m udp --dport 137:139 -m comment --comment "SMB" -j reject
-A Reject -p udp -m udp --sport 137 --dport 1024:65535 -m comment --comment "SMB" -j reject
-A Reject -p tcp -m multiport --dports 135,139,445 -m comment --comment "SMB" -j reject
-A Reject -p udp -m udp --dport 1900 -m comment --comment "UPnP" -j DROP
-A Reject -p tcp -j dropNotSyn
-A Reject -p udp -m udp --sport 53 -m comment --comment "Late DNS Replies" -j DROP
-A dropBcast -m addrtype --dst-type BROADCAST -j DROP
-A dropBcast -d 224.0.0.0/4 -j DROP
-A dropInvalid -m state --state INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2net -j ACCEPT
-A logdrop -j DROP
-A logreject -j reject
-A net2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2fw -j Drop
-A net2fw -j LOG --log-prefix "Shorewall:net2fw:DROP:" --log-level 6
-A net2fw -j DROP
-A reject -m addrtype --src-type BROADCAST -j DROP
-A reject -s 224.0.0.0/4 -j DROP
-A reject -p igmp -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -j REJECT --reject-with icmp-port-unreachable
-A smurfs -s 0.0.0.0/32 -j RETURN
-A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -m addrtype --src-type BROADCAST -j DROP
-A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 224.0.0.0/4 -j DROP
COMMIT
# Completed on Sun Jul  5 20:45:55 2009
# Generated by iptables-save v1.4.3.1 on Sun Jul  5 20:45:55 2009
*mangle
:PREROUTING ACCEPT [5313:4130647]
:INPUT ACCEPT [5313:4130647]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6787:1307967]
:POSTROUTING ACCEPT [6812:1311243]
:tcfor - [0:0]
:tcout - [0:0]
:tcpost - [0:0]
:tcpre - [0:0]
-A PREROUTING -j tcpre
-A FORWARD -j tcfor
-A OUTPUT -j tcout
-A POSTROUTING -j tcpost
COMMIT
# Completed on Sun Jul  5 20:45:55 2009
# Generated by iptables-save v1.4.3.1 on Sun Jul  5 20:45:55 2009
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [1155:84995]
:OUTPUT ACCEPT [1155:84995]
COMMIT
# Completed on Sun Jul  5 20:45:55 2009
# Generated by iptables-save v1.4.3.1 on Sun Jul  5 20:45:55 2009
*raw
:PREROUTING ACCEPT [5313:4130647]
:OUTPUT ACCEPT [6787:1307967]
COMMIT
# Completed on Sun Jul  5 20:45:55 2009

После применения конфигурации в Webmin-е:

Код: Выделить всё

[root@sg sg]# iptables-save
# Generated by iptables-save v1.4.3.1 on Sun Jul  5 20:50:15 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Drop - [0:0]
:Ifw - [0:0]
:Reject - [0:0]
:all2fw - [0:0]
:all2net - [0:0]
:dropBcast - [0:0]
:dropInvalid - [0:0]
:dropNotSyn - [0:0]
:dynamic - [0:0]
:eth0_fwd - [0:0]
:eth0_in - [0:0]
:eth0_out - [0:0]
:fw2all - [0:0]
:fw2net - [0:0]
:logdrop - [0:0]
:logreject - [0:0]
:net2fw - [0:0]
:reject - [0:0]
:shorewall - [0:0]
:smurfs - [0:0]
-A INPUT -s 192.0.0.0/4 -j ACCEPT
-A INPUT -j Ifw
-A INPUT -i eth0 -j eth0_in
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j Reject
-A INPUT -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
-A INPUT -j reject
-A FORWARD -i eth0 -j eth0_fwd
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j Reject
-A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -j reject
-A FORWARD -j ACCEPT
-A OUTPUT -o eth0 -j eth0_out
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j Reject
-A OUTPUT -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -j reject
-A Drop -p tcp -m tcp --dport 113 -j reject
-A Drop -j dropBcast
-A Drop -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Drop -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Drop -j dropInvalid
-A Drop -p udp -m multiport --dports 135,445 -j DROP
-A Drop -p udp -m udp --dport 137:139 -j DROP
-A Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A Drop -p tcp -m multiport --dports 135,139,445 -j DROP
-A Drop -p udp -m udp --dport 1900 -j DROP
-A Drop -p tcp -j dropNotSyn
-A Drop -p udp -m udp --sport 53 -j DROP
-A Ifw -m set --set ifw_wl src -j RETURN
-A Ifw -m set --set ifw_bl src -j DROP
-A Ifw -m state --state INVALID,NEW -m psd --psd-weight-threshold 10 --psd-delay-threshold 10000 --psd-lo-ports-weight 2 --psd-hi-ports-weight 1 -j IFWLOG --log-prefix "SCAN"
-A Reject -p tcp -m tcp --dport 113 -j reject
-A Reject -j dropBcast
-A Reject -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Reject -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Reject -j dropInvalid
-A Reject -p udp -m multiport --dports 135,445 -j reject
-A Reject -p udp -m udp --dport 137:139 -j reject
-A Reject -p udp -m udp --sport 137 --dport 1024:65535 -j reject
-A Reject -p tcp -m multiport --dports 135,139,445 -j reject
-A Reject -p udp -m udp --dport 1900 -j DROP
-A Reject -p tcp -j dropNotSyn
-A Reject -p udp -m udp --sport 53 -j DROP
-A all2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2fw -j Reject
-A all2fw -j LOG --log-prefix "Shorewall:all2fw:REJECT:" --log-level 6
-A all2fw -j reject
-A all2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2net -j Reject
-A all2net -j LOG --log-prefix "Shorewall:all2net:REJECT:" --log-level 6
-A all2net -j reject
-A dropBcast -m addrtype --dst-type BROADCAST -j DROP
-A dropBcast -d 224.0.0.0/4 -j DROP
-A dropInvalid -m state --state INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A eth0_fwd -m state --state INVALID,NEW -j dynamic
-A eth0_in -s 192.168.1.3/32 -j ACCEPT
-A eth0_in -s 192.168.1.4/32 -j ACCEPT
-A eth0_in -m state --state INVALID,NEW -j dynamic
-A eth0_in -j net2fw
-A eth0_out -j fw2net
-A fw2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2all -j Reject
-A fw2all -j LOG --log-prefix "Shorewall:fw2all:REJECT:" --log-level 6
-A fw2all -j reject
-A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2net -j ACCEPT
-A logdrop -j DROP
-A logreject -j reject
-A net2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2fw -j Drop
-A net2fw -j LOG --log-prefix "Shorewall:net2fw:DROP:" --log-level 6
-A net2fw -j DROP
-A reject -m addrtype --src-type BROADCAST -j DROP
-A reject -s 224.0.0.0/4 -j DROP
-A reject -p igmp -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A smurfs -s 0.0.0.0/32 -j RETURN
-A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -m addrtype --src-type BROADCAST -j DROP
-A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 224.0.0.0/4 -j DROP
COMMIT
# Completed on Sun Jul  5 20:50:15 2009
# Generated by iptables-save v1.4.3.1 on Sun Jul  5 20:50:15 2009
*mangle
:PREROUTING ACCEPT [1201:334562]
:INPUT ACCEPT [1201:334562]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1536:539030]
:POSTROUTING ACCEPT [1536:539030]
:tcfor - [0:0]
:tcout - [0:0]
:tcpost - [0:0]
:tcpre - [0:0]
-A PREROUTING -j tcpre
-A FORWARD -j tcfor
-A OUTPUT -j tcout
-A POSTROUTING -j tcpost
COMMIT
# Completed on Sun Jul  5 20:50:15 2009
# Generated by iptables-save v1.4.3.1 on Sun Jul  5 20:50:15 2009
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [193:18272]
:OUTPUT ACCEPT [193:18272]
COMMIT
# Completed on Sun Jul  5 20:50:15 2009
# Generated by iptables-save v1.4.3.1 on Sun Jul  5 20:50:15 2009
*raw
:PREROUTING ACCEPT [1201:334562]
:OUTPUT ACCEPT [1536:539030]
COMMIT
# Completed on Sun Jul  5 20:50:15 2009

[diesel]

там случайно нет не "применить конфигурацию", а "сохранить конфигурацию"? или чего-то подобного. правила действительно отличаются. переношу в Мандриву - кажется дистрибутивозависимым.

[vlavich]

...добавил пару машин из локалки.

очень может быть, что интерфейсов несколько и один из них - туннель типа pptp или pppoe.
решение - посмотреть последовательность запуска служб, шоревол должен стартовать ПОСЛЕ поднятия туннеля.
если ДО - то еще нет интерфейса для правил шоревола, отсюда и не работает.

[sunny178]

очень может быть, что интерфейсов несколько и один из них - туннель типа pptp или pppoe.

да вроде не несколько... сетевуха одна. сеть одна, ее адреса ADSL-модем раздает через простенький хаб на 3 компа. 192.168.1.*... классика!

решение - посмотреть последовательность запуска служб, шоревол должен стартовать ПОСЛЕ поднятия туннеля.
если ДО - то еще нет интерфейса для правил шоревола, отсюда и не работает.

вот тут я не особо ориентируюсь. нашел на этом форуме, что посмотреть автозагрузку вроде как можно в /etc/rc.local и /etc/profile (~/.bash_profile и ~/.bashrc в данном случае не в кассу, т.к. для конкретного юзера)
где еще смотреть что и в каком порядке стартует?

[sunny178]

там случайно нет не "применить конфигурацию", а "сохранить конфигурацию"? или чего-то подобного. правила действительно отличаются. переношу в Мандриву - кажется дистрибутивозависимым.

Там есть "Включать при загрузке" (о) Да ( ) Нет
Нажимал, оставляя крыжик на Да. Не помогло.

[Courage]

Код: Выделить всё

# iptables save

Должен сохранить конфигурацию фаервола.

[sunny178]

Код: Выделить всё

# iptables save

Должен сохранить конфигурацию фаервола.

неа

Код: Выделить всё

# iptables save
Bad argument `save'
Try `iptables -h' or 'iptables --help' for more information.

в хэлпе ничего похожего на сохранение не увидел.

[SinClaus]

Код: Выделить всё

man iptables-save
iptables-save {>куда}

[dhampire]

а shorewall не стоит у вас и нет ли его в автозапуске?

[SinClaus]

shorewall - это НАДСТРОЙКА над iptables, как всегда, недопиленная, а не самостоятельное приложение.

[BDag]

Если у вас при загрузке стартует shorewall до активации настроек iptables, настроенных через webmin, то правила очистятся и заменятся настройкой из shorewall, т.к. при инициализации правил shorewall производится полный сброс правил iptables. В связи с чем, при использовании настроек iptables требуется отключать службу shorewall (#chkconfig shorewall off), либо добавить свои правила в shorewall.