1 (03.03.2015 20:07:53 отредактировано kerogaz)

Я удалил firewalld и установил iptables согласно инструкции

+ открыть спойлер

Останавливаем и отключаем с автозагрузки firewalld

systemctl stop firewalld

systemctl disable firewalld



Устанавливаем iptables

yum install iptables-services iptables

Добавляем iptables в автозагрузку

systemctl enable iptables

Копируем init-скрипт для того, чтобы можно было сохранять правила командой /etc/init.d/iptables save



cp /usr/libexec/iptables/iptables.init /etc/init.d/iptables



Проверяем, что сохраняются правила при остановке/перезапуске iptables, а также подгружаем модуль отслеживания состояний ftp-подключений.

nano /etc/sysconfig/iptables-config

IPTABLES_MODULES=»nf_conntrack_ftp»

IPTABLES_SAVE_ON_STOP=»yes»

IPTABLES_SAVE_ON_RESTART=»yes»



После набора правил сохраняем правила и перезапускаем iptables

/etc/init.d/iptables save

/etc/init.d/iptables restart



После чего проверяем наличие правил

iptables -S



Запуск iptables

systemctl start iptables

/etc/init.d/iptables start

service iptables start

Но при рестарте поучаю следующее.

service iptables restart
Restarting iptables (via systemctl):  Job for iptables.service failed. See 'systemctl status iptables.service' and 'journalctl -xn' for details.
                                                           [FAILED]

Хотя сам iptables вроде работает

 iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9546 state NEW
   36  2320 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
   12   700 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
10431  726K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 380 packets, 36002 bytes)

Причем сменить порт ssh удалось только после отключения selinux и добавив правило в INPUT для нужного порта (сделал для него accept ,хотя политика цепочки  input и так по умолчанию accept)

НО что интересно, эта ошибка выползает строго через раз (каждую нечетную перезагрузку - сведение о первой перезагрузке я не привел, но она был сбойная ,а вторая нормальная и т.д. подряд  до бесконечности)

service iptables restart
Restarting iptables (via systemctl):                       [  OK  ]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):  Job for iptables.service failed. See 'systemctl status iptables.service' and 'journalctl -xn' for details.
                                                           [FAILED]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):                       [  OK  ]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):  Job for iptables.service failed. See 'systemctl status iptables.service' and 'journalctl -xn' for details.
                                                           [FAILED]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):                       [  OK  ]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):  Job for iptables.service failed. See 'systemctl status iptables.service' and 'journalctl -xn' for details.
                                                           [FAILED]

2

Вам же недвусмысленно предлагается:
See 'systemctl status iptables.service' and 'journalctl -xn' for details.
Смотрели?

3 (04.03.2015 08:26:38 отредактировано kerogaz)

Смотрел. И что делать? Убрать модуль nf_contrack_ftp?

 systemctl status iptables.service
iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled)
   Active: failed (Result: exit-code) since Срд 2015-03-04 00:07:26 EST; 1min 41s ago
  Process: 2031 ExecStop=/usr/libexec/iptables/iptables.init stop (code=exited, status=0/SUCCESS)
  Process: 2094 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=1/FAILURE)
 Main PID: 2094 (code=exited, status=1/FAILURE)

Мар 04 00:07:26 bear systemd[1]: Starting IPv4 firewall with iptables...
Мар 04 00:07:26 bear iptables.init[2094]: iptables: Applying firewall rules: [  OK  ]
Мар 04 00:07:26 bear iptables.init[2094]: iptables: Loading additional modules: nf_contrack_ftp [FAILED]
Мар 04 00:07:26 bear systemd[1]: iptables.service: main process exited, code=exited, status=1/FAILURE
Мар 04 00:07:26 bear Failed to start IPv4 firewall with iptables.
Мар 04 00:07:26 bear systemd[1]: Unit iptables.service entered failed state.

Убрал модуль, теперь ошибка стала появляться не через раз а на 5-й раз

service iptables restart
Restarting iptables (via systemctl):                       [  OK  ]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):                       [  OK  ]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):                       [  OK  ]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):                       [  OK  ]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):                       [  OK  ]
[root@bear gateway]# service iptables restart
Restarting iptables (via systemctl):  Job for iptables.service failed. See 'systemctl status iptables.service' and 'journalctl -xn' for details.
                                                           [FAILED]

Но теперь из-за слишком быстрой перезагрузки

systemctl status iptables.service
iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled)
   Active: failed (Result: start-limit) since Срд 2015-03-04 00:17:46 EST; 1min 39s ago
  Process: 2528 ExecStop=/usr/libexec/iptables/iptables.init stop (code=exited, status=0/SUCCESS)
  Process: 2498 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS)
 Main PID: 2498 (code=exited, status=0/SUCCESS)


Мар 04 00:17:46 bear systemd[1]: Starting IPv4 firewall with iptables...
Мар 04 00:17:46 bear systemd[1]: iptables.service start request repeated too quickly, refusing to start.
Мар 04 00:17:46 bear systemd[1]: Failed to start IPv4 firewall with iptables.
Мар 04 00:17:46 bear systemd[1]: Unit iptables.service entered failed state.

Теперь понятно, но чего модуль не подгружается? И ещё, по умолчанию iptables установился какой-то кривой. Пришлось сделать iptables-flush и iptables --delete-chain и проблемы с портом ssh исчезли

4

По умолчанию запускается вообще не iptables, а firewalld (кстати, нормально работающий сервис, только в нём разобраться надо). Вы слишком оптимистично думаете об obsoleted service.

5 (04.03.2015 10:56:17 отредактировано kerogaz)

s.xbatob пишет:

По умолчанию запускается вообще не iptables, а firewalld (кстати, нормально работающий сервис, только в нём разобраться надо). Вы слишком оптимистично думаете об obsoleted service.

Во первых я сразу жеотключил firewalld за ненадобностью и поставил iptables (читайте спойлер)

Останавливаем и отключаем с автозагрузки firewalld
systemctl stop firewalld
systemctl disable firewalld


Устанавливаем iptables
yum install iptables-services iptables

А во вторых, зачем в CentOS  по умолчанию ставится selinux и firewalld, если первым делом их необходимо  отключать для нормальной работы например постового сервера Postfix-Dovecot-Postfixadmin? Меня честно говоря в CentOS7 коробит от firewalld, зачем гнобить систему если iptables в CentOS6 прекрасно работает? А чего стоит везде и постоянно  глючащий NetworkManager? Мне подобные "усовершенствования" ,типа подключения  конченого Unity в Ubuntu вместо Gnome2 , вводят в ступор.  Еще меня убивает в Сентосе  всучивание втихаря LVM  . А его отключить можно лишь при установке с DVD ISO в 4 Гб. Сейчас хоть Debian8 начал Mate использовать, отрадно что хоть где-то появляются разумные новшества

6

kerogaz пишет:

А во вторых, зачем в CentOS  по умолчанию ставится selinux и firewalld, если первым делом их необходимо  отключать для нормальной работы...

Ложь и провокация.
Если эти сервисы требуется отключать, то либо требующие приложения кривые/вирусы, либо администратор профан. Уж извини, но эти сервисы не требуется отключать для нормальной работы НИКОГДА.

7 (04.03.2015 11:52:32 отредактировано kerogaz)

Vascom пишет:
kerogaz пишет:

А во вторых, зачем в CentOS  по умолчанию ставится selinux и firewalld, если первым делом их необходимо  отключать для нормальной работы...

Ложь и провокация.
Если эти сервисы требуется отключать, то либо требующие приложения кривые/вирусы, либо администратор профан. Уж извини, но эти сервисы не требуется отключать для нормальной работы НИКОГДА.

Однако вы либо откровенно лукавите или же совсем не читаете соответствующие постыдаже этого форума,не говоря о том что погуглив можно найти не одну тысячу жалоб на selinux и встроенный файервол

Для корректной работы создали каталог почтовых сообщений /var/vmail, куда будет попадать почтовая переписка.
# setup
Firewall Configuration -> Firewall Enabled -> Убираем галочку
Здесь мы отключи встроенную цепочку правил фаерволла (RH-Input)
Отключаем SELINUX:
# vi /etc/selinux/config
Находим строчку:
SELINUX=enforcing
Приводим ее к виду:
SELINUX=disabled
Встроенная цепочка и SELINUX  иногда мешают нормальной работе программ.  Поэтому мы отключили их.
Теперь запретим нашему серверу быть открытым Релеем, допишем:

Установка и настройка почтового сервера Postfix на CentOS 6.6(CentOS7)

8 (04.03.2015 11:54:11 отредактировано Vascom)

Ну так по шапке надо дать тому, кто такое написал!
Надо понимать, что вместо отключения selinux и файрволла надо просто их настроить. Конечно можно всё поотключать и получить дырявую систему с кучей проблем с настройками. Что ты, kerogaz, и имеешь в итоге.

P.S. Посты этого форума не являются истиной в последней инстанции. Зачастую всякие хаутушечки и подобные инструкции являются лишь костылями и личным (но не значит верным) опытом отдельных пользователей. Если бы там было написано rm -rf /* ты ведь не стал бы это выполнять? А отключение селинукса и файрволла почему-то принимаешь как должное.

9 (04.03.2015 11:56:49 отредактировано kerogaz)

Vascom пишет:

Ну так по шапке надо дать тому, кто такое написал!
Надо понимать, что вместо отключения selinux и файрволла надо просто их настроить. Конечно можно всё поотключать и получить дырявую систему с кучей проблем с настройками. Что ты, kerogaz, и имеешь в итоге.

Ой не надо тётя, дядя на работе, а не с кем нибудь в кино ag
http://bugtraq.ru/forum/full/2006/sysadmin/137607.html

10

По хорошему, за разъяснениями тебе бы обратиться к автору инструкции или в тот же топик хотя бы.

11 (04.03.2015 12:05:57 отредактировано kerogaz)

Vascom пишет:

По хорошему, за разъяснениями тебе бы обратиться к автору инструкции или в тот же топик хотя бы.

Gо топику я как раз и построил Postfix и с автором лично общался через teamviewer, за что ему огромное спасибо
Ещё раз показываю таракана, и таких selinux тараканов ползает на просторах инета немеряно. Сам не один раз сталкивался на личном опыте, и в вычислительных кластерах и при настройке NAT
http://bugtraq.ru/forum/full/2006/sysadmin/137607.html

отключи selinux 
из-за него может быть много глюков с пермишенами. Даже не глюков, в полном смысле этого слова, а фич с которыми мне лично лень разбираться.

12 (04.03.2015 12:04:31 отредактировано Vascom)

Почему не в багтрекере дистрибутива? А вот это читали? http://fedoraproject.org/wiki/SELinux/samba
Ни чего отключать не надо, надо просто настроить.

Ага, лично ему лень разбираться. То есть неосилил одну две строки в консоли написать ab
Не уподобляйся подобным личностям, kerogaz.

13 (04.03.2015 12:17:46 отредактировано kerogaz)

Vascom пишет:

Почему не в багтрекере дистрибутива? А вот это читали? http://fedoraproject.org/wiki/SELinux/samba
Ни чего отключать не надо, надо просто настроить.

Ага, лично ему лень разбираться. То есть неосилил одну две строки в консоли написать ab
Не уподобляйся подобным личностям, kerogaz.

Да нафиг лапоть шнурками шнуровать, если он не для ношения а чисто для показу?Лучше его сразу  по назначению, на стенд  в музей форльклора

И потом нашли что рекомендовать, Федору, федора это вообще не система а испытательный полигон для камикадзе  во славу красной шапки ab

14

kerogaz пишет:
s.xbatob пишет:

По умолчанию запускается вообще не iptables, а firewalld (кстати, нормально работающий сервис, только в нём разобраться надо). Вы слишком оптимистично думаете об obsoleted service.

Во первых я сразу жеотключил firewalld за ненадобностью и поставил iptables (читайте спойлер)

Я это видел. На это и намекал. Разъясняю свою мысль: хотите бороться с решениями дистрибутива - ваше право, только не нойте: сами нарвались на проблемы.

kerogaz пишет:

А во вторых, зачем в CentOS  по умолчанию ставится selinux и firewalld, если первым делом их необходимо  отключать для нормальной работы например постового сервера Postfix-Dovecot-Postfixadmin? Меня честно говоря в CentOS7 коробит от firewalld, зачем гнобить систему если iptables в CentOS6 прекрасно работает? А чего стоит везде и постоянно  глючащий NetworkManager? Мне подобные "усовершенствования" ,типа подключения  конченого Unity в Ubuntu вместо Gnome2 , вводят в ступор.  Еще меня убивает в Сентосе  всучивание втихаря LVM  . А его отключить можно лишь при установке с DVD ISO в 4 Гб. Сейчас хоть Debian8 начал Mate использовать, отрадно что хоть где-то появляются разумные новшества

Ваша информация устарела: и то, и другое, и третье,.. давно нормально работает. Привыкайте - никуда вы от них не денетесь, как не спрятались от systemd (а если спрятались - ваши проблемы)

15

Vascom пишет:

Уж извини, но эти сервисы не требуется отключать для нормальной работы НИКОГДА.

Да-да, ты это оракловодам расскажи. А, ну  да, конечно, оракл софт весь кривой.  ))

16

Macumazan, софт наверное нормальный, оракловоды кривые. Любой софт может работать при соответствующих настройках selinux.

17 (04.03.2015 15:26:35 отредактировано kerogaz)

А на счет того что если SELinux отключить то система станет дырявой то это фейк как раз наоборот,ведь SELinux был разработан Агентством национальной безопасности США, а значит если его отключаешь то  хоть отрезаешь утечку информации с вашего компа  в АНБ. Я думаю Сноуден этого не будет отрицать

s.xbatob пишет:

Ваша информация устарела: и то, и другое, и третье,.. давно нормально работает. Привыкайте - никуда вы от них не денетесь, как не спрятались от systemd (а если спрятались - ваши проблемы)

Дядя, рассказывать сказки будешь виндовым домохозяйкам. Не иначе как неделю назад пришлось удалить NetworkManager из Debian7 потому что он конфликтовал с настройками ifconfig. SElinux и firewalld отключил вчера на сентосе 7 тоже, потому что не корректно  работал Postfix. А привыкать к нерабочим приложениям не хочу, потому что  и без этих прибамбасов система работает прекрасно не только на АНБ . Если вы хотите получать по шапке от клиентов, за то , что письма не доходят из-за SElinux  то . З цукербрина вам в руки ag

18

s.xbatob пишет:

На это и намекал. Разъясняю свою мысль: хотите бороться с решениями дистрибутива - ваше право, только не нойте: сами нарвались на проблемы.

s.xbatob пишет:

Привыкайте - никуда вы от них не денетесь, как не спрятались от systemd (а если спрятались - ваши проблемы)

А вы сами то используете firewolld на боевых серверах ? как по мне то firewolld это пока что для десктопа (ИМХО).

Спросить - стыд минуты, не узнать - стыд всей жизни

19

lone_wolf пишет:
s.xbatob пишет:

На это и намекал. Разъясняю свою мысль: хотите бороться с решениями дистрибутива - ваше право, только не нойте: сами нарвались на проблемы.

s.xbatob пишет:

Привыкайте - никуда вы от них не денетесь, как не спрятались от systemd (а если спрятались - ваши проблемы)

А вы сами то используете firewolld на боевых серверах ? как по мне то firewolld это пока что для десктопа (ИМХО).

Вроде firewalld только на CentOS 7. Отсюда вопрос - зачем ставить CentOS 7 и бояться использовать его средства selinux и firewalld по умолчанию. Так что те, кто использует эту версию центоса используют и firewalld. Это же не какой-то отдельный новый файрволл, это просто надстрока над iptables, которые по прежнему работают как и раньше.

20

lone_wolf пишет:

как по мне то firewolld это пока что для десктопа (ИМХО).

Почеум? Что вам мешает осилить доку? Ну и к примеру правки xml файлов?

lone_wolf пишет:

А вы сами то используете firewolld на боевых серверах ?

он только появился в 7й весрии CentoS, на 7ку переходить рано еще, хотя можно.  Что мешает поставить тот же 6й цент?
Для понимая firewalld: https://access.redhat.com/documentation … walls.html

It is good day to die ...
MS Windows 10
Заметки о главном...

21 (04.03.2015 16:11:06 отредактировано kerogaz)

Vascom пишет:
lone_wolf пишет:
s.xbatob пишет:

На это и намекал. Разъясняю свою мысль: хотите бороться с решениями дистрибутива - ваше право, только не нойте: сами нарвались на проблемы.

s.xbatob пишет:

Привыкайте - никуда вы от них не денетесь, как не спрятались от systemd (а если спрятались - ваши проблемы)

А вы сами то используете firewolld на боевых серверах ? как по мне то firewolld это пока что для десктопа (ИМХО).

Вроде firewalld только на CentOS 7. Отсюда вопрос - зачем ставить CentOS 7 и бояться использовать его средства selinux и firewalld по умолчанию. Так что те, кто использует эту версию центоса используют и firewalld. Это же не какой-то отдельный новый файрволл, это просто надстрока над iptables, которые по прежнему работают как и раньше.

Я бы никогда не переходил на CentOS 7 если бы у CentOS 6 была пожизненная поддержка ab А iptables из-за этой надстройки и не работает как раньше. Чтобы iptables работал как раньше её как раз то и  надо отключить и установить iptables, которого по умолчанию вообще нет . Проверено на своём опыте. Можете погуглить по этому поводу и увидите массу жалоб. Ещё раз повторяю процедуру

Останавливаем и отключаем с автозагрузки firewalld
systemctl stop firewalld
systemctl disable firewalld


Устанавливаем iptables
yum install iptables-services iptables

Добавляем iptables в автозагрузку
systemctl enable iptables

22

Ну так учись, освой родные инструменты CentOS7. А то ты поставил его, отключил сервисы и пытаешься что-то сделать по старинке на коленке.

23 (04.03.2015 16:12:52 отредактировано )

Vascom пишет:

Ну так учись, освой родные инструменты CentOS7. А то ты поставил его, отключил сервисы и пытаешься что-то сделать по старинке на коленке.

Да нафиг учиться всякому поносу если можно поставить более демократичный в этом отношении  Debian

Vascom пишет:

Ну так учись, освой родные инструменты CentOS7. А то ты поставил его, отключил сервисы и пытаешься что-то сделать по старинке на коленке.

Да нафиг учиться всякому поносу если можно поставить более демократичный в этом отношении  Debian

24

Ну будь неучем, пещерным человеком. Ставь Debian.

25 (04.03.2015 16:19:45 отредактировано kerogaz)

Vascom пишет:

Ну будь неучем, пещерным человеком. Ставь Debian.

А вы считаете что Дебианом пользуются только пещерные люди? Большинство ведущих университетов мира  разрабатывают прикладные программы исключительно  под Debian, так как у Debian самая большая пакетная база среди всех линуксов и демократичный менеджмент

26

Конечно нет. Но те, кому нужны передовые технологии в области ПО - не используют Debian.
Прикладные пакеты и к винде 95 писать можно, это ни о чём не говорит.

27

Vascom пишет:

Ну так учись, освой родные инструменты CentOS7. А то ты поставил его, отключил сервисы и пытаешься что-то сделать по старинке на коленке.

Я как раз когда отключил лишнее в CentOS 7 он и заработал как надо и проблемы исчезли

28

Ключевой момент "как надо" ab
То есть так как ты привык по старинке.
Ты просто взял и откатил центос лет на 5-6 назад.

29 (04.03.2015 16:37:27 отредактировано kerogaz)

Vascom пишет:

Ключевой момент "как надо" ab
То есть так как ты привык по старинке.
Ты просто взял и откатил центос лет на 5-6 назад.

Да я бы откатил и Виндовс8 до XP и только был бы рад этому если бы Билли руки не выкручивл с драйверами на новое оборудование
А что касается SElinux то создаётся такое впечатление что в интернетевсе только и занимаются вопросом его отключения
http://forum.ubuntu.ru/index.php?topic=224128.0

30

lone_wolf пишет:
s.xbatob пишет:

На это и намекал. Разъясняю свою мысль: хотите бороться с решениями дистрибутива - ваше право, только не нойте: сами нарвались на проблемы.

s.xbatob пишет:

Привыкайте - никуда вы от них не денетесь, как не спрятались от systemd (а если спрятались - ваши проблемы)

А вы сами то используете firewolld на боевых серверах ? как по мне то firewolld это пока что для десктопа (ИМХО).

Да - и на серверах, и на киосках стоят и NetworkManager, и firewalld, и LVM. Всё работает, и обслуживания не требует - в отличие от многочисленных датчиков и исполнительных устройств, которыми всё это управляет.