Iptables COMMIT Error

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Julian2ex
Beiträge: 4
Registriert: 25.03.2017 23:37:53

Iptables COMMIT Error

Beitrag von Julian2ex » 25.03.2017 23:44:55

Guten Tag,

ich besitze zur Zeit 2 Debian 8 Server.
Auf dem einen habe ich die Firewall mittels iptables Problemlos eingerichtet.
Bei dem 2. (identisches System) klappt das einrichten nicht.

Ich bekomme immer eine Fehlermeldung:

Code: Alles auswählen

iptables-restore: line 38 failed
Die Firewall "config" sieht wiefolgt aus:

Code: Alles auswählen

*filter

# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
# -A INPUT -p tcp --dport 80 -j ACCEPT
# -A INPUT -p tcp --dport 443 -j ACCEPT

# Allows SSH connections 
# The --dport number is the same as in /etc/ssh/sshd_config
-A INPUT -p tcp -m state --state NEW --dport 1225 -j ACCEPT

# Now you should read up on iptables rules and consider whether ssh access 
# for everyone is really desired. Most likely you will only allow access from certain IPs.

# Allow ping
#  note that blocking other types of icmp packets is considered a bad idea by some
#  remove -m icmp --icmp-type 8 from this line to allow all kinds of icmp:
#  https://security.stackexchange.com/questions/22711
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT
Das System auf dem "Problemserver" wurde gerade frisch neuinstalliert und der Fehler existiert noch.
Diverse Ratschläge aus Eigenrecherche haben nicht geholfen. :hail: :google:

Kann mir jemand weiterhelfen? :?
Zuletzt geändert von Julian2ex am 26.03.2017 10:39:03, insgesamt 1-mal geändert.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Iptables COMMIT Error

Beitrag von rendegast » 26.03.2017 00:59:56

Wie sieht den Zeile 38 (+-) von

Code: Alles auswählen

iptables-save
aus?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

DeletedUserReAsG

Re: Iptables COMMIT Error

Beitrag von DeletedUserReAsG » 26.03.2017 12:00:23

BOM?

Julian2ex
Beiträge: 4
Registriert: 25.03.2017 23:37:53

Re: Iptables COMMIT Error

Beitrag von Julian2ex » 26.03.2017 18:57:42

rendegast hat geschrieben:Wie sieht den Zeile 38 (+-) von

Code: Alles auswählen

iptables-save
aus?
1. Entschuldigung, ich habe ausversehen die falsche config geposted. Habe jetzt aber die richtige drin. :)

2. iptables-save spuckt aus:

Code: Alles auswählen

# Generated by iptables-save v1.4.21 on Sun Mar 26 12:57:12 2017
*filter
:INPUT ACCEPT [8796:307864]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8735:334363]
COMMIT
# Completed on Sun Mar 26 12:57:12 2017
MfG Julian

Julian2ex
Beiträge: 4
Registriert: 25.03.2017 23:37:53

Re: Iptables COMMIT Error

Beitrag von Julian2ex » 26.03.2017 18:58:16

niemand hat geschrieben:BOM?
Was meinst du damit? :D

DeletedUserReAsG

Re: Iptables COMMIT Error

Beitrag von DeletedUserReAsG » 26.03.2017 19:35:16

Byte Order Mark oder sonstige nicht im Editor sichtbaren Zeichen. Ein Blick darauf mit einem Hex-Editor würde Klarheit schaffen.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Iptables COMMIT Error

Beitrag von rendegast » 26.03.2017 22:37:15

Julian2ex hat geschrieben: 2. iptables-save spuckt aus:
Nun, da ist Deine firewall ja nicht aktiviert, hier unbrauchbar.
Es sollte die Datei sein, die iptables-restore ausführen will,
diese wird per iptables-save vom System resp. den firewall-Skripten erstellt.


Statt eines BOM tippe ich eher auf ein zur Zeit des restore nicht verfügbares Interface.
Könnte sein, daß das firewall-Paket nicht ganz systemd-kompatibel ist.
Gegenprobe systemd -> sysv,
unter systemd-sysv habe ich einen sysvinit-Eintrag im grub-Menü, Umbooten sollte also reichen.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Iptables COMMIT Error

Beitrag von Cae » 27.03.2017 02:57:37

rendegast hat geschrieben:Statt eines BOM tippe ich eher auf ein zur Zeit des restore nicht verfügbares Interface.
Bist du sicher?

Code: Alles auswählen

# iptables -A INPUT -i foobar -j ACCEPT
# echo $?
0
# 
(Ich habe kein Device namens foobar.)

Aus dem als "config" bezeichnetem Text oben:

Code: Alles auswählen

[...]
    35  -A INPUT -j REJECT
    36  -A FORWARD -j REJECT
    37  
    38  COMMIT
Offenbar ist das Commit selbst das Problem; es ist allerdings ein bisschen unklar, warum. Der Code [1] zeigt da auch nix interessantes: ops->commit(handle) failt, die Meldung aus [2] erscheint. Ich wuerde erwarten, dass im dmesg spezifischere Informationen stehen. Vielleicht fehlt das stateful-Modul (-m state), etwa wegen Billigvirtualisierung.

Gruss Cae

[1] https://sources.debian.net/src/iptables ... re.c/#L262
[2] https://sources.debian.net/src/iptables ... re.c/#L448
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Antworten