Назад | Перейти на главную страницу

Новичок на сервере пытается настроить выход в открытый космос. Я не знаю, что я ошибаюсь с iptables

Итак, я пытаюсь настроить сервер выхода в открытый космос на centos 6.8, но он продолжает зависать при перезапуске служб для установки cobbler. Это будет продолжаться и продолжаться без какого-либо прогресса. Наконец, я изменил свои политики iptables для ввода и вывода, и процесс установки, наконец, завершился успешно. Но меня это не устраивает. Я хочу иметь возможность успешно установить выход в открытый космос без необходимости принимать все соединения, кроме тех, которые действительно необходимы для выхода в открытый космос. Имейте в виду, что я полный новичок в серверах и в iptables в целом, поэтому извините за грязную политику :(

Это моя политика:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -p udp -m udp --dport 69 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT 
-A INPUT -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5269 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5222 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A OUTPUT -p udp -m udp --sport 69 -m state --state ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT 
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 

РЕДАКТИРОВАТЬ: TL; DR Мне нужно было открыть соединения для интерфейса обратной связи

Для всех, у кого когда-либо возникала такая же проблема: я добавил порты, о которых знал Диоген, для сапожника. К сожалению, это не устранило проблему. Согласно его второму предложению, я попытался установить с неработающей конфигурацией iptables, использовал "netstat -aln" и сохранил ее в файл. Затем я изменил политику на ACCEPT, успешно установил выход в открытый космос и снова запустил netstat. Затем я взял два файла и сравнил их и обнаружил, что проблема в том, что 127.0.0.1 не обменивается данными должным образом. Как только я добавил интерфейс в iptables, программа spacewalk успешно установила конфигурацию iptable, которую я хотел (включая политики DROP по умолчанию).

Похоже, Cobbler требует портов 25150 и 25151. Из Справочного руководства для Cobbler, Раздел 11.1.1 (Использование проверки Cobbler):

iptables - напомнит вам, что если вы используете брандмауэр IPTables, у вас есть правила, разрешающие порты 69 (TFTP), 80 (HTTPD), 25150 и 25151 (Cobbler).

Запустите команду cobbler check от имени пользователя root в вашей системе, чтобы увидеть, какие настройки и службы необходимо включить для правильного запуска Cobbler на вашем загрузочном сервере.

Когда правила брандмауэра временно отключены, вы можете использовать netstat -aln или lsof -i для вывода списка портов, к которым подключены прослушиватели. Это может показать вам другие порты, которые должны быть открыты для запущенных вами служб.