Firewall

[ars]

Файрвол раньше пускал использование больсхе одного IP через запятую
сейчас выдает ошибку на свежеустановлвнной панели

[someuser]

Чтобы не создавать еще одну тему, напишу тут.
После недавнего обновления, перестали работать nslookup, apt-get update, и проч.
Фаерволл блочит исходящие соединения.
Если отключить iptables, - всё работает нормально.
Но хотелось бы все таки починить.

Code: Select all

/usr/local/vesta/data/firewall/rules.conf
RULE='1' ACTION='ACCEPT' PROTOCOL='ICMP' PORT='0' IP='0.0.0.0/0' COMMENT='PING' SUSPENDED='no' TIME='17:13:48' DATE='2014-09-16'
RULE='2' ACTION='ACCEPT' PROTOCOL='TCP' PORT='8083' IP='0.0.0.0/0' COMMENT='VESTA' SUSPENDED='no' TIME='07:40:16' DATE='2014-05-25'
RULE='3' ACTION='ACCEPT' PROTOCOL='TCP' PORT='3306,5432' IP='0.0.0.0/0' COMMENT='DB' SUSPENDED='no' TIME='07:40:16' DATE='2014-05-25'
RULE='4' ACTION='ACCEPT' PROTOCOL='TCP' PORT='143,993' IP='0.0.0.0/0' COMMENT='IMAP' SUSPENDED='no' TIME='07:40:16' DATE='2014-05-25'
RULE='5' ACTION='ACCEPT' PROTOCOL='TCP' PORT='110,995' IP='0.0.0.0/0' COMMENT='POP3' SUSPENDED='no' TIME='07:40:16' DATE='2014-05-25'
RULE='6' ACTION='ACCEPT' PROTOCOL='TCP' PORT='25,465,587,2525' IP='0.0.0.0/0' COMMENT='SMTP' SUSPENDED='no' TIME='07:40:16' DATE='2014-$
RULE='7' ACTION='ACCEPT' PROTOCOL='UDP' PORT='53' IP='0.0.0.0/0' COMMENT='DNS' SUSPENDED='no' TIME='07:40:16' DATE='2014-05-25'
RULE='8' ACTION='ACCEPT' PROTOCOL='TCP' PORT='21,12000-12100' IP='0.0.0.0/0' COMMENT='FTP' SUSPENDED='no' TIME='07:40:16' DATE='2014-05$
RULE='9' ACTION='ACCEPT' PROTOCOL='TCP' PORT='80,443' IP='0.0.0.0/0' COMMENT='WEB' SUSPENDED='no' TIME='17:04:27' DATE='2014-09-24'
RULE='10' ACTION='ACCEPT' PROTOCOL='TCP' PORT='22' IP='0.0.0.0/0' COMMENT='SSH' SUSPENDED='no' TIME='17:14:41' DATE='2014-09-16'

Code: Select all

/usr/local/vesta/data/firewall/ports.conf
PROTOCOL='TCP' PORT='20'
PROTOCOL='TCP' PORT='21'
PROTOCOL='TCP' PORT='22'
PROTOCOL='TCP' PORT='25'
PROTOCOL='UDP' PORT='53'
PROTOCOL='TCP' PORT='80'
PROTOCOL='TCP' PORT='443'
PROTOCOL='TCP' PORT='110'
PROTOCOL='UDP' PORT='123'
PROTOCOL='TCP' PORT='143'
PROTOCOL='TCP' PORT='3306'
PROTOCOL='TCP' PORT='5432'
PROTOCOL='TCP' PORT='8080'
PROTOCOL='TCP' PORT='8433'
PROTOCOL='TCP' PORT='8083'
PROTOCOL='TCP' PORT='12000:12100'

Code: Select all

/etc/resolv.conf

nameserver 8.8.8.8
nameserver 77.221.130.254
nameserver 77.221.140.254
#nameserver 77.88.8.8
#nameserver 77.88.8.1

Code: Select all

 /etc/iptables.rules
 
 
 # Generated by iptables-save v1.4.14 on Sat Jul  9 05:34:23 2016
*mangle
:PREROUTING ACCEPT [332663:109352567]
:INPUT ACCEPT [170994:95437068]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [135032:226444117]
:POSTROUTING ACCEPT [135310:226506510]
COMMIT
# Completed on Sat Jul  9 05:34:23 2016
# Generated by iptables-save v1.4.14 on Sat Jul  9 05:34:23 2016
*raw
:PREROUTING ACCEPT [332663:109352567]
:OUTPUT ACCEPT [135032:226444117]
COMMIT
# Completed on Sat Jul  9 05:34:23 2016
# Generated by iptables-save v1.4.14 on Sat Jul  9 05:34:23 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Sat Jul  9 05:34:23 2016

[ararat]

присоединяюсь к вопросу
после установки vesta на любую OS centos 6 и 7 , debian 7 , ubuntu 14
файрвол блокирует службы днс
правила файрвола которые создает панель при устновке
в данный момент centos7
# iptables -L -n

SpoilerShow

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 178.201.136.56 0.0.0.0/0
ACCEPT all -- 127.0.0.1 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,12000:12100
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 110,995
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 143,993
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 3306,5432
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain vesta (0 references)
target prot opt source destination

конфиг сети
# ifconfig

SpoilerShow

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
inet6 ::2 prefixlen 128 scopeid 0x80<compat,global>
loop txqueuelen 0 (Local Loopback)
RX packets 145 bytes 18177 (17.7 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 145 bytes 18177 (17.7 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

venet0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
inet 127.0.0.1 netmask 255.255.255.255 broadcast 0.0.0.0 destination 127.0.0.1
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 0 (UNSPEC)
RX packets 268442 bytes 385181484 (367.3 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 113713 bytes 6126244 (5.8 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

venet0:0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
inet 178.201.136.56 netmask 255.255.255.255 broadcast 138.201.133.56 destination 138.201.133.56
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 0 (UNSPEC)

сервер vps uname -a
Linux test.com 2.6.32-042stab113.21

НО, смое интересное

на другом сервере
поставилась по другому

там файрвол
# iptables -L -n

SpoilerShow

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 178.46.29.249 0.0.0.0/0
ACCEPT all -- 127.0.0.1 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,12000:12100
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 110,995
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 143,993
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 3306,5432
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain vesta (0 references)
target prot opt source destination

сеть
# ifconfig

SpoilerShow

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
inet6 ::2 prefixlen 128 scopeid 0x80<compat,global>
loop txqueuelen 0 (Local Loopback)
RX packets 145 bytes 18187 (17.7 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 145 bytes 18187 (17.7 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

venet0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
inet 127.0.0.1 netmask 255.255.255.255 broadcast 0.0.0.0 destination 127.0.0.1
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 0 (UNSPEC)
RX packets 306597 bytes 439511763 (419.1 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 131618 bytes 7126258 (6.7 MiB)
TX errors 0 dropped 8 overruns 0 carrier 0 collisions 0

venet0:0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
inet 178.46.29.249 netmask 255.255.255.255 broadcast 78.46.29.249 destination 78.46.29.249
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 0 (UNSPEC)

ядро тоже
# uname -a
Linux vps.test.com 2.6.32-042stab113.21


вопрос, что это такое? почему на двух абсолютно одинаковых серверах панель ставится по разному?
на одной файрвол прописывает один правила, на другом блокирует днс

спасибо

[ararat]

в своем случае я нашел проблему

обратил на разницу в /etc/sysconfig/iptables

на сервере где работает была строка
:vesta - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

При добавлении
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ошибка iptables: No chain/target/match by that name

копнул далее
оказывается не хватало некоторых модулей
MODULES="x_tables ip_tables iptable-filter ipt_REJECT xt_tcpudp \
nf_conntrack nf_conntrack_ipv4 xt_state"

сервер vps на openvz

добавил модули

SpoilerShow

On the node server :
Modify IPTABLES_MODULES on /etc/sysconfig/iptables-config

IPTABLES_MODULES="ip_conntrack_netbios_ns ipt_conntrack ipt_LOG ipt_owner ipt_state ip_conntrack_ftp iptable_nat ip_nat_ftp ip_tables ipt_multiport iptable_filter ipt_limit"

then launch : service iptables restart
to restart iptables services

Then modify IPTABLES on /etc/vz/vz.conf

IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp ip_tables ipt_conntrack ip_conntrack_ftp ipt_LOG ipt_owner"
then launch : /etc/init.d/vz restart

для теста переставил панель. все ok


возможно кому то поможет сэкономить время...

[aveia]

присоединяюсь к теме дебиан8(на семь и цент ось тоже самое)
uname -a

Code: Select all

Linux myserver 2.6.32-042stab116.1 #1 SMP Wed May 4 16:21:02 MSK 2016 x86_64 GNU/Linux

OpenVZ
при отключении iptables все работает

по совету выше пробую добавить
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
выдает ошибку iptables: No chain/target/match by that name

добавить модули не возможно
если попроборать добавить в /etc/iptables.rules указанное, то

Code: Select all

iptables-restore: line 1 failed

на данный момент помогло только

Code: Select all

iptables -P INPUT ACCEPT

как вариант вижу, подправить конфиг установки для своего дистрибутива, чтобы не трогал настройки фаэрвола и настроить iptables в ручную, вот толькоко какие настройки подойдут не вкурю
если у кого есть идея получше буду рад услышать!

[dudilona]

Та же фигня (
Debian-8-x86_64-minimal
После чистой установки CP Vesta, все внешние подключения не доступны.
ping google.com молчит и крепко спит, не говоря про установки новых пакетов через apt-get, т.к. не может соединиться с репозиториями.

Как я понимаю, в процессе установки CP Vesta тоже возможны подобные косяки, видел проскакивали ошибки, но в целом в конце концов - successful installation CP Vesta

Однозначного и правильного решения я пока не нашел.
Подскажите из-за чего происходит эта фигня?

Нужно как-то подготовить систему перед установкой CP Vesta или же косяк в самом установщике?

Пока помогла оживить ситуацию команда: iptables -P INPUT ACCEPT
Но как я понял, эта команда открывает все порты для всего входящего трафика, что тем самым лишает смысла работы фаервола.

Отпишитесь, как быть?

[aveia]

нужен альтернативный вариант конфига iptables, без использования модулей, которые часто не активны на бюджетных впсках, на дедиках такую проблему не разу не встречал. варианта 2 или ждать что ктото поможет с конфигом, либо курить iptables самим. если что накопаю выложу, но пока глубоко не знакомился и моих знаний хватило на вариант аксепт по умолчанию. Если кто поможет буду благодарен. могу дать рут от сервера спроблемой если надо.

[imperio]

Кто нибудь создайте баг репорт с полным описанием всего, что происходит
https://bugs.vestacp.com/

[aveia]

создал:
https://bugs.vestacp.com/issues/338
но пока не профи в этом деле,если что надо добавить то я без проблем тока намикните