No Centos 7 as alterações iptables-config não fazem mais nada (não é possível salvar em stop / restart)

Navegue suas respostas
0

tl; dr Como posso persistir meus iptables no Centos 7?

De acordo com Centos 5 docs eu deveria ser capaz de persistir meus iptables quando o serviço reiniciar ou parar. Posso confirmar que esse costumava ser o caso, e se não estou enganado, isso aconteceu no Centos 7 há muito tempo.

Agora, não consigo salvar nenhuma alteração do iptables, a menos que eu chame manualmente o comando service iptables save .

No entanto, como desejo salvar os contadores (por exemplo, uso), preciso garantir que as reinicializações persistam nos contadores mais recentes.

Meu /etc/sysconfig/iptables-config é assim: 

IPTABLES_MODULES=""
IPTABLES_MODULES_UNLOAD="yes"
IPTABLES_SAVE_ON_STOP="yes"
IPTABLES_SAVE_ON_RESTART="yes"
IPTABLES_SAVE_COUNTER="yes"
IPTABLES_STATUS_NUMERIC="yes"
IPTABLES_STATUS_VERBOSE="no"
IPTABLES_STATUS_LINENUMBERS="yes"

Eu uso: yum info iptables iptables-services xtables-addons 

Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirrors.coreix.net
 * epel: epel.mirror.wearetriple.com
 * extras: mirrors.coreix.net
 * updates: mirrors.coreix.net
Installed Packages
Name        : iptables
Arch        : x86_64
Version     : 1.4.21
Release     : 18.0.1.el7.centos
Size        : 1.5 M
Repo        : installed
From repo   : base
Summary     : Tools for managing Linux kernel packet filtering capabilities
URL         : http://www.netfilter.org/
License     : GPLv2
Description : The iptables utility controls the network packet filtering code in the
            : Linux kernel. If you need to set up firewalls and/or IP masquerading,
            : you should install this package.

Name        : iptables-services
Arch        : x86_64
Version     : 1.4.21
Release     : 18.0.1.el7.centos
Size        : 25 k
Repo        : installed
From repo   : base
Summary     : iptables and ip6tables services for iptables
URL         : http://www.netfilter.org/
License     : GPLv2
Description : iptables services for IPv4 and IPv6
            :
            : This package provides the services iptables and ip6tables that have been split
            : out of the base package since they are not active by default anymore.

Name        : xtables-addons
Arch        : x86_64
Version     : 2.12
Release     : 1.el7.lux
Size        : 294 k
Repo        : installed
From repo   : lux
Summary     : Extensions targets and matches for iptables
URL         : http://xtables-addons.sourceforge.net
License     : GPLv2 and LGPLv2
Description : Xtables-addons provides extra modules for iptables not present in the kernel,
            : and is the successor of patch-o-matic. Extensions includes new targets like
            : TEE, TARPIT, CHAOS, or modules like geoip, ipset, and account.
            :
            : This package provides the userspace libraries for iptables to use extensions
            : in the xtables-addons-kmod package. You must also install the
            : xtables-addons-kmod package.

Atualização # 1:

Eu descobri que o arquivo iptables-config é muito estrito, um único espaço o quebra e um espaço errado permite que o analisador o ignore completamente. re-instalado e usado o arquivo original.

Agora, o problema que estou enfrentando é semelhante. service iptables stop now faz salvar. Reinicie ou desligue não .

Atualização # 2:

O primeiro problema foi definitivamente o arquivo iptables-config . Excluir todos os arquivos relacionados do iptables em /etc/sysconfig e reinstalar rapidamente corrigiu isso.

No entanto, parece que o iptables não consegue salvar devido a um problema de permissões.

Atualização 3:

Eu estava faltando alterar o nível de segurança, o que normalmente faço. O comando abaixo desativa a segurança de alto nível e permite que eu salve no iptables.

setenforce 0

Está funcionando!

    
por ericosg 04.10.2017 / 18:25

2 respostas

0

Acontece que uma série de problemas fez com que meu iptables não salvasse, ou não carregasse, ou salvasse e carregasse e, em seguida, carregasse alguma outra coisa sobre ele.

De acordo com minhas atualizações, meus principais problemas foram:

  1. /etc/sysconfig/iptables-config formato incorreto

/etc/sysconfig/iptables-config é muito rigoroso. Espaços extras irão quebrar o comando ou fazer com que ele ignore completamente o comando. Eu reinstalei o pacote e editei o arquivo (depois de excluí-lo), para garantir que estava correto.

ou seja, 

service iptables stop     
yum -y install iptables iptables-services     
rm -rf /etc/sysconfig/ipt*     
yum -y reinstall iptables iptables-services

Em seguida, edite o arquivo. 

nano /etc/sysconfig/iptables-config
  1. Desativar imposição (opções de segurança)

A execução do SELinux estava ativada e não permitiu que o salvamento ocorresse. Eu vi isso fazendo "pare" service iptables stop e percebendo que não seria possível salvar em service iptables status -l . Eu então desabilito temporariamente a aplicação do SELinux, por setenforce 0 e isso me permitiu salvá-los. Eu não recomendo isso como uma solução, você pode encontrar um melhor (desabilitar comportamentos de segurança não pode ser bom).

Como assim desativar permanentemente: 

nano /etc/sysconfig/selinux

Em seguida, altere a diretiva SELinux=enforcing para SELinux=disabled .

    
por 16.10.2017 / 09:49
0

O centos7 usa o firewalld como front para o iptables. Siga este link para saber como usá-lo: link

    
por 06.10.2017 / 17:03

Tags

baixou acidentalmente o tamanho da fonte de uma das minhas janelas do i3 Como implementar as ações customizadas do systemd em conformidade com a política no Debian?