iptables er 'glemt' ved reboot på Centos

Hvis du rebooter så flusher den din konfigation. Du skal sørge for at scriptet bliver startet ved bootup.

Hvis man redigerer firewall konfigureringen inn i stadard scriptet /etc/rc.d/rc.local (Tror jeg det var) saa vil den settes opp automatisk ved reboot. Dette virker for de aller fleste distroer.

Det finnes ogsaa en annen metode som er "native" for redhat/centos, men den husker jeg ikke her og nu.

Firewall konfigureringen skal vel som default ligge lagret her:
/etc/sysconfig/iptables
Mulig det ogsaa kan fungere med aa redigere om denne. (Har ikke testet det for det skal finnes en annen maate ogsaa.)

Tror den tredje mulighet som vil lagre naavarende konfigurering er denne kommando:

"service iptables save"

Sjekket litt om jeg husket rett:

http://www.linuxforums.org/forum/redhat-fedora-linux-help/47871-etc-rc-d-rc-local-about.html

/etc/rc.d/rc.local ser ut til aa vare den rette adresse for aa legge inn det start script som man maatte oenske.

Det staar tre forskjellige maater over, men brukes selv for det meste /etc/rc.d/rc.local metoden fordi den fungerer likt paa nesten alle linux distroer i denne verden.

Du kan vist også kopiere filen til /etc/init.d/ og så lave en /etc/init.d/filnavn

Så vil den også starte ved reboot.

Ej, jeg beklager fraværet de sidste par dage.

Jeg prøvede "the quick and dirty way" og smed komandoerne ind i "bootup and shutdown" som et actionscript. De virker fint - bortset fra jeg ikke kan bruge "state" argumentet her..

Hvordan lukker jeg for portene 139 (samba) på ydersiden (eth1)?

Ellers mange tak for hjælpen!

"bootup and shutdown" - altså i webmin :-)

Jeg prøvede med:

iptables -A INPUT -i eth1 -p udp --dport 139 -j DROP
iptables -A OUTPUT -i eth1 -p udp --sport 139 -j DROP

Men de virker ikke i min iptables version - fortælles der.

iptables v1.3.5: Can't use -i with OUTPUT

Skriptet øverst inneholder en generaltabbe !

Det inneholder ikke kommando for å flushe ut de gamle reglene og det inneholder ikke regler for å sette policieas. Det betyr at firewall kan bli stående helt åpen.

Det skal sånn sett ikke være noe behov for å sette en regel av typen:
iptables -A INPUT -i eth1 -p udp --dport 139 -j DROP

.. fordi port 139 og alle andre porter som ikke spesielt er satt til åpen vil være lukket, så sant policy eller default regel er satt til lukket (DROP).

Med flushing og riktig policy:

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Load some kernel modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

#Flushing old rules
iptables -F
iptables -X
iptables -Z

#Setting policies
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP


# Enable Masquerade and statefull inspection all forwarding
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router pc for server/services
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p tcp –-dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp –-dport 24 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp –-dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp –-dport 110 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp –-dport 25 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp –-dport 143 -j ACCEPT

# STATE RELATED for local processes on firewall machine
iptables -A INPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

Beklager at jeg ikke så dette tidligere. Når man må lukke 139 med en ekstra regel så viser dette en grunnleggende feilfunksjon som skyldes manglende setting av policy.

NY tabbe .. dette vil jo lukke firewall på den måte at dne ikke vil kjøre som gateway.

Da kan for eksempel FORWARD policy settes til ACCEPT:

iptables -P FORWARD ACCEPT

(Det finnes også mange andre måter å løse dette på som gir litt mer "grundigere" firewalling. Dette blir på aller enkleste måte.)

Hehe, der var lige flere ting som drillede. Min PBX havde sørget for at maskinen kørte iptables med en anden fil under bootup - iptables-pbx... :-(
Derefter var der nogle småting med min copy-paste som ikke var helt godt. F.eks. linjen "iptables -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT" omkring "–-state" - det er en streg og et minustegn. Det ville maskinen ikke godtage.

Så kom scriptet til at se således ud fra webmin under "bootup og shutdown":

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 139 -j REJECT --reject-with tcp-reset
iptables -A INPUT -i eth1 -p tcp --dport 139 -j REJECT --reject-with tcp-reset
iptables -A INPUT -i eth1 -p udp --dport 445 -j REJECT --reject-with tcp-reset
iptables -A INPUT -i eth1 -p tcp --dport 445 -j REJECT --reject-with tcp-reset
iptables -A INPUT -i eth1 -p udp --dport 3306 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 3306 -j DROP
iptables -A INPUT -i eth1 -p udp --dport 4445 -j REJECT --reject-with tcp-reset
iptables -A INPUT -i eth1 -p tcp --dport 4445 -j REJECT --reject-with tcp-reset
iptables -A INPUT -i eth1 -p udp --dport 111 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 111 -j DROP

Mange tak for hjælpen!