CentOS / RHEL:guida alla risoluzione dei problemi di iptables

L'utilità iptables controlla il codice di filtraggio dei pacchetti di rete nel kernel Linux. La funzione iptables viene utilizzata per impostare, mantenere e ispezionare le tabelle delle regole del filtro dei pacchetti IP nel kernel Linux. Il post discute i problemi più comuni riscontrati con iptables e come risolverli.

Le regole di iptables non vengono caricate dopo un riavvio

hai impostato e salvato le regole del firewall iptables e non vengono ancora caricate dopo un riavvio. Dopo un riavvio, le regole di iptables non vengono caricate e invece:
– Le regole del firewall devono essere ridefinite perché le nuove regole non sono state salvate/applicate.
– Il servizio iptables deve essere riavviato in per caricare le regole.

risoluzione dei problemi
1. Assicurati che il servizio sia impostato per l'avvio all'avvio
1. Verifica che il servizio sia stato impostato per l'avvio all'avvio:

# chkconfig iptables --list
iptables          0:off   1:off   2:off   3:on    4:on    5:on    6:off

2. Se iptables è disattivato, abilita il servizio per i runlevel 3-5

# chkconfig iptables on

2. Assicurati che le regole siano state salvate su disco
1. Verifica che le nuove regole siano salvate in /etc/sysconfig/iptables .

2. Se non sono state salvate, salvare le regole correnti dopo averle impostate con uno dei due metodi mostrati di seguito:
a. Salvataggio delle regole tramite il comando iptables service:

# service iptables save

b. Salvataggio dell'output del comando seguente nel file /etc/sysconfig/iptables. Puoi anche salvare le regole scrivendole manualmente nel file.

# iptables-save

3. Assicurati che i moduli iptables siano caricati all'avvio
1. Verifica che il modulo iptables sia stato caricato immediatamente dopo l'avvio.

L'output di RHEL 5 dovrebbe essere simile a:

# lsmod | grep tables
ip_tables              55457  1 iptable_filter
ip6_tables             50177  1 ip6table_filter
x_tables               50505  6 ipt_REJECT,xt_state,ip_tables,ip6t_REJECT,xt_tcpudp,ip6_tables

L'output di RHEL 6 dovrebbe essere simile a:

# lsmod | grep table
iptable_filter          2793  1 
ip_tables              17831  1 iptable_filter
ip6table_filter         2889  1 
ip6_tables             19458  1 ip6table_filter

2. Se il caricamento del modulo non riesce, rimuovere le righe della blacklist per i moduli iptables dalla configurazione di modprobe.

# grep -r iptables /etc/modprobe*
/etc/modprobe.d/blacklist.conf:blacklist iptables
/etc/modprobe.d/blacklist.conf:blacklist ip6tables

4. Controlla le tabelle per vedere se sono regole vuote o mancanti
Di seguito è riportato un esempio di tavolo svuotato o vuoto:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain RH-Firewall-1-INPUT (0 references)
target     prot opt source               destination

5. Verifica che il file delle regole non sia cambiato dopo un riavvio

# cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bkp
# reboot
# sdiff -s /etc/sysconfig/iptables /etc/sysconfig/iptables.bkp

6. Verifica se il riavvio del servizio iptables carica correttamente le regole
Verifica se è necessario eseguire il "riavvio del servizio iptables" dopo l'avvio e carica correttamente le tabelle.

# service iptables restart
# service iptables status

Cosa fa caricare iptables ogni volta dopo un riavvio anche quando è completamente spento Cosa fa caricare iptables ogni volta dopo un riavvio anche quando è completamente spento