1 votes

Roy Hinkley avatar

Le redémarrage d'iptables revient : Mauvais argument 'restart'.

Demandé el 12 de Juin, 2017
Quand la question a-t-elle été
3704 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un Ubuntu LTS Le système fonctionne depuis quelques années maintenant. Hier, une panne de courant a forcé mon ordinateur à s'éteindre. Une fois l'électricité rétablie, j'ai démarré le système et tout semblait bien fonctionner, à l'exception des éléments suivants iptables . Chaque fois que j'ai redémarré ce système, ufw démarre toujours, même si je l'ai configuré pour ne pas le faire. Je préfère iptables simplement parce que je le sais, donc je ferme 'ufw' et reconfigure iptables et redémarrez-le en suivant la procédure suivante :

sudo ufw disable

sudo ip_tables_reset.sh
sudo ip_tables_config.sh

sudo iptables restart

et vérifier avec

sudo iptables -S

qui revient :

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Maintenant la ligne

sudo iptables restart

revient avec

Bad argument 'restart'

Mais j'utilise cette procédure fidèlement depuis des années maintenant. Je n'ai installé aucune mise à jour récente à ma connaissance.

Qu'est-ce qui a changé pour que cette méthode fiable échoue maintenant ?

référence : iptables v1.4.12

Demandé el 12 de Juin, 2017 par Roy Hinkley

Réponse

Trop de publicités?

1voto

Scott Stensland avatar
Scott Stensland Points 12948

Vous mentionnez cette commande

sudo iptables restart  #  wrong usage, its not a service

l'ensemble de scripts ci-dessous est la façon dont vous sauvegardez, activez ou désactivez votre pare-feu ... vérifiez d'abord que vous avez le paquet installé

dpkg -l | grep iptables

une façon de voir les paramètres actuels d'iptable

sudo iptables -L -n

la manière canonique de montrer les règles actuelles d'iptable (afficher seulement les changements)

sudo iptables-save

en regardant vos règles vous ne bloquez pas le trafic entrant (vos boucliers sont baissés) alors que ce qui suit bloque tout le trafic entrant sauf les ports spécifiés

*filter
:INPUT DROP [331:17104]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [9727:1360720]
:GitHubWebHooks - [0:0]
-A INPUT -p tcp -m tcp --dport 9000 -j GitHubWebHooks
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i lo -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A GitHubWebHooks -s 192.30.252.0/22 -j ACCEPT
-A GitHubWebHooks -j DROP
COMMIT

remarquez que j'ai ouvert une adresse IP spécifique 192.30.252.0/22 pour pouvoir faire tourner un serveur qui écoute le trafic entrant, donc toutes les mentions de GitHubWebHooks sont facultatives ... si vous enregistrez ce qui précède dans un fichier, puis chargez ce fichier comme vos règles, alors vous serez prêt à partir ... boucliers en place

Avant de changer quoi que ce soit, nous allons transférer les règles actuelles dans un fichier de sortie.

vi firewall_save_current_rules.sh

#!/usr/bin/env /bin/bash

set -o errexit  #  exit on error

#  dump current iptable rules to file

if [[ $EUID -ne 0 ]]; then
   echo "This script must be run as root"
   exit 1
fi

# ........

curr_timestamp=$(date '+%H%M%S%N')

curr_rulesfile=/etc/iptables/rules.v4.${curr_timestamp}.current_rules

rulesdir=$( dirname $curr_rulesfile )

if [[ ! -d $rulesdir ]]; then

    echo about to create dir $rulesdir
    mkdir $rulesdir
fi

iptables-save > ${curr_rulesfile}  # dump current iptable rules into output timestamped file

echo curr_rulesfile $curr_rulesfile

exécutez maintenant le script ci-dessus pour sauvegarder vos règles iptable actuelles

sudo ./firewall_save_current_rules.sh

Le code ci-dessous définira un nouvel ensemble de règles où nous bloquerons tout le trafic entrant par défaut, sauf les parties spécifiées (en particulier le port ssh + les ports http et https normaux).

vi firewall_shields_up.sh

#!/usr/bin/env /bin/bash

set -o errexit  #  exit on error

#  create new set of iptable rules from inline list of rules - Block all incoming traffic by default except specified

if [[ $EUID -ne 0 ]]; then
   echo "This script must be run as root"
   exit 1
fi

# ........

curr_timestamp=$(date '+%H%M%S%N')

new_rulesfile=/etc/iptables/rules.v4.${curr_timestamp}.new_rules

rulesdir=$( dirname $new_rulesfile )

if [[ ! -d $rulesdir ]]; then

    echo about to create dir $rulesdir
    mkdir $rulesdir
fi

# .....  park into a new file below list of iptable rules

cat << EOF > ${new_rulesfile}

*filter
:INPUT DROP [331:17104]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [9727:1360720]
:GitHubWebHooks - [0:0]
-A INPUT -p tcp -m tcp --dport 9000 -j GitHubWebHooks
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i lo -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A GitHubWebHooks -s 192.30.252.0/22 -j ACCEPT
-A GitHubWebHooks -j DROP
COMMIT

EOF

echo new_rulesfile $new_rulesfile

iptables-restore <  ${new_rulesfile}  #  engage new iptable rules from file

echo here is new iptable settings

iptables-save

#  ... if you are running docker you will want to bounce its daemon
#  sudo service docker restart

exécuter le script ci-dessus pour définir de nouvelles règles iptable

sudo ./firewall_shields_up.sh

pour être complet, voici un script de dépannage qui désactivera effectivement le pare-feu en ouvrant tout le trafic entrant et sortant ... exécutez-le si vous voulez une ardoise vide, mais exécutez au-dessus de firewall_shields_up.sh pour remettre un pare-feu correct.

vi firewall_shields_down.sh

#!/usr/bin/env /bin/bash

set -o errexit  #  exit on error

#  open up all incoming and outgoing traffic ... effectively disabling the firewall

if [[ $EUID -ne 0 ]]; then
   echo "This script must be run as root"
   exit 1
fi

# ........ lets first backup current rules into timestamped file

curr_timestamp=$(date '+%H%M%S%N')

curr_rulesfile=/etc/iptables/rules.v4.${curr_timestamp}.current_rules_before_opening_up_all_traffic

rulesdir=$( dirname $curr_rulesfile )

if [[ ! -d $rulesdir ]]; then

    echo about to create dir $rulesdir
    mkdir $rulesdir
fi

iptables-save > ${curr_rulesfile}  # dump current iptable rules into output timestamped file

echo curr_rulesfile $curr_rulesfile

# ... now alter iptables to lower shield

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F

# ... display new iptable rules

echo
echo following are the new iptable rules after we opened up all incoming and outgoing traffic
echo

iptables-save
Répondu el 12 de Juin, 2017 par Scott Stensland (12948 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X