Назад | Перейти на главную страницу

Служба Linux --status-all показывает «Брандмауэр остановлен». к какой службе относится брандмауэр?

У меня есть сервер разработки со стеком ламп под управлением CentOS:

[Prompt]# cat /etc/redhat-release
CentOS release 5.8 (Final)

[Prompt]# cat /proc/version
Linux version 2.6.18-308.16.1.el5xen (mockbuild@builder10.centos.org) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-52)) #1 SMP Tue Oct 2 22:50:05 EDT 2012

[Prompt]# yum info iptables
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirror.anl.gov
 * extras: centos.mirrors.tds.net
 * rpmfusion-free-updates: mirror.us.leaseweb.net
 * rpmfusion-nonfree-updates: mirror.us.leaseweb.net
 * updates: mirror.steadfast.net
Installed Packages
Name       : iptables
Arch       : x86_64
Version    : 1.3.5
Release    : 9.1.el5
Size       : 661 k
Repo       : installed
.... Snip....

Когда я бегу:

service --status-all

Часть вывода выглядит так:

.... Snip....
httpd (pid  xxxxx) is running...
Firewall is stopped.
Table: filter
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
....Snip....

iptables был загружен в ядро ​​и активен в соответствии с отображаемыми правилами.

Проверка только iptables возвращает правила точно так же, как и все status:

[Prompt]# service iptables status
Table: filter
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
.... Snip....

Запуск или перезапуск iptables указывает на то, что iptables были успешно загружены в ядро:

[Prompt]# service iptables restart
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]

[Prompt]# service iptables start
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]

Я погуглил "Брандмауэр остановлен". и прочитайте ряд руководств по iptables, а также документацию RHEL, но безуспешно.

Насколько я могу судить, службы "Брандмауэр" нет, так что за строчка "Firewall is stopped." ссылаясь на?

РЕДАКТИРОВАТЬ - Вот дополнительная информация.
iptables работает, несмотря на то, что «Брандмауэр остановлен». вывод из статуса сервиса.

Я добавил в iptables правило, ограничивающее доступ по ssh только к одному IP-адресу (не моему IP-адресу), и после перезапуска iptables я не мог войти в систему.

У меня есть идея, что два элемента выводятся один за другим в service --status-all потому что услуги выводятся в алфавитном порядке (просто предположение).

Итак, может ли кто-нибудь объяснить, почему я вижу «Брандмауэр остановлен». выводится ли мой статус службы, даже если правила iptables действуют и работают правильно?

Решение
«Брандмауэр остановлен». сообщение появляется, если iptables или ip6tables выключены.

Если оба выключены, одно и то же сообщение появится дважды (было бы неплохо, если бы сообщение для ip6 указывало, что оно относится к ip6).

Вы также увидите сообщение об ошибке, если служба включена, но у вас есть пустая таблица правил (как это произошло в моем случае для ip6).

Информация предоставлена ​​@Alexander Janssen. См. В ответе ссылку на набор правил IP6 по умолчанию в CentOS 5.8.

Изменить: после разговора с OP мы можем указать следующие факты:

Это относится к услугам iptables и ip6tables.

Сообщение об ошибке появляется, когда служба ip6tables включен (пользователем chkconfig), но не имеет никаких правил.

Я советую установить правила IPv6 по умолчанию, как указано в стандартной установке CentOS 5.8. Вы можете взять это как ссылка. Это было взято со стоковой установки 5.8.

Надеюсь, теперь все в порядке :)