Server bleibt hängen bei Aktivierung von Firehol

[Apollo013]

Ich besitze einen Arm 64 Cloud Server, bei SSH kommt connect to host xxxxx port 22: No route to host.

Ich habe die Möglichkeit den Server auf der GUI Konsole zu sehen von Hetzner.
Zu sehen ist das auf Konsole startet der Server bis zum einen gewissen Punkt.

Habe festgestellt das es an den Firehol liegt.

Wenn Firehole aktiv ist (/etc/default/firehol // Start auf YES) startet der Server nicht, mit der Konfiguration.

Code: Alles auswählen

interface4 any world
protection bad-packets
server ssh accept
server icmp accept
server "echo dhcp dns" accept
server "http https httpalt" accept
server "smtp smtps submission imaps" accept
server "rtp" accept


client all accept


router4 lxc1 inface lxcbr0 outface eth0
masquerade
server "rtp sip stun http" accept
client all accept
route all accept


postprocess2 -warn service fail2ban restart || return 1

Wenn die Firehole deaktiviert ist (Start auf NO) oder in der firehol.conf nur der Eintrag

Code: Alles auswählen

interface any world
client all accept

Vorhanden sind, startet der Server.


In der Firehol habe ich SSH aktiviert, darum ist mir unklar, warum das nicht funktioniert.

[reox]

hast du mal probiert im laufenden betrieb mit firehol try zu schauen ob du konfiguration überhaupt funktioniert?

Was macht eigentlich postprocess2? Das taucht nirgends in der firehol doku auf

[Apollo013]

Bei firehol try kommst das raus

Code: Alles auswählen

FireHOL: Saving active firewall to a temporary file...  OK 
FireHOL: Processing file '/etc/firehol/firehol.conf'...  OK  (236 iptables rules)

Your firewall is ready to be fast-activated...
If you don't continue, no changes will have been made to your firewall.
Activate the firewall? (just press enter to confirm or Control-C to stop) : 

FireHOL: Fast activating new firewall...  OK 
FireHOL: Executing postprocess2 commands...  OK 
Keep the firewall? (type 'commit' to accept - 30 seconds timeout) : 


FireHOL: Restoring old firewall...  OK 

Broadcast message from systemd-journald@mythos (Fri 2023-09-29 12:08:19 CEST):

FireHOL[22958]: FAILED to activate the firewall from /etc/firehol/firehol.conf. Last good firewall restoration: OK.


Message from syslogd@mythos at Sep 29 12:08:19 ...
 FireHOL[22416]: FAILED to activate the firewall from /etc/firehol/firehol.conf. Last good firewall restoration: OK

.
postprocess2 startet den Fail2ban auch mit.


Nach dem service firehol start
Status:

Code: Alles auswählen

firehol.service - Firehol stateful packet filtering firewall for humans
     Loaded: loaded (/lib/systemd/system/firehol.service; enabled; preset: enabled)
     Active: active (exited) since Fri 2023-09-29 12:12:23 CEST; 5s ago
       Docs: man:firehol(1)
             man:firehol.conf(5)
    Process: 23530 ExecStart=/usr/sbin/firehol start (code=exited, status=0/SUCCESS)
   Main PID: 23530 (code=exited, status=0/SUCCESS)
        CPU: 1.186s

Sep 29 12:12:21 mythos FireHOL[23671]: Processing file '/etc/firehol/firehol.conf' started
Sep 29 12:12:22 mythos firehol[23530]: FireHOL: Processing file '/etc/firehol/firehol.conf'...  OK  (236 iptables rules)
Sep 29 12:12:22 mythos FireHOL[23686]: Processing file '/etc/firehol/firehol.conf' succeeded with message: 236 iptables rules
Sep 29 12:12:22 mythos firehol[23530]: FireHOL: Fast activating new firewall...  OK
Sep 29 12:12:22 mythos FireHOL[23786]: Fast activating new firewall succeeded
Sep 29 12:12:22 mythos FireHOL[23787]: Executing postprocess2 commands started
Sep 29 12:12:23 mythos firehol[23530]: FireHOL: Executing postprocess2 commands...  OK
Sep 29 12:12:23 mythos firehol[23530]: FireHOL: Saving activated firewall to '/var/spool/firehol'...  OK
Sep 29 12:12:23 mythos FireHOL[23845]: Saving activated firewall to '/var/spool/firehol' succeeded
Sep 29 12:12:23 mythos systemd[1]: Finished firehol.service - Firehol stateful packet filtering firewall for humans.

Der Firehol startet, weil der Status zeigt keine Fehler. Nur beim Hochfahren startet der Server nicht, wenn der Firehol aktiv ist, mit der Konfiguration.

[reox]

sicher das es an der firehol liegt und nicht an etwas anderem? sieht man bei journalctl etwas auffälliges? Mit -b kannst du den jeweiligen bootvorgang auswählen.

Ich hätt die Vermutung, dass das neustarten von fail2ban ein problem sein könnte. Funktioniert es wenn du nur das postprocess2 weg lässt?
(Ist das eigentlich irgendwo dokumentiert? Klingt sehr sinnvoll aber ich find es nicht in den docs )

[Apollo013]

Ich habe den postprocess2 weggegeben und es funktioniert.

Danke für den Tipp.

Den Bootvorgang habe ich auch schon mehrmals überprüft und nur festgestellt, das bei fehlerhaften booten bei dem Netzwerk blieb hängen.