centos 7 的 iptables 规则在重启后失效了？

Halry

2016-12-14 09:27:02 +08:00

直接用 firewall-cmd 啊

RandomUser

2016-12-14 09:35:30 +08:00

@Halry 搬瓦工上 centos 默认没有 firewalld ，是 iptables

脚本里 firewalld 的设置是下面这样的
if [[ ${firewalldisactive} = 'active' ]]; then
echo "Adding firewall ports."
firewall-cmd --permanent --add-port=${port}/tcp
firewall-cmd --permanent --add-port=${port}/udp
echo "Allow firewall to forward."
firewall-cmd --permanent --add-masquerade
echo "Reload firewall configure."
firewall-cmd --reload

这里不用像 iptables 一样设置转发什么的吗？ ocserv 能正常工作吗？

mmmyc

2016-12-14 09:42:05 +08:00

听说 7 和以前的版本改变很大了

ragnaroks

2016-12-14 09:54:40 +08:00

先停止 iptables-services 再写 conf,保存后再启动.

RandomUser

2016-12-14 10:17:44 +08:00

@ragnaroks 你的意思是脚本里没有先停止 iptables 所以修改无效？但是 iptables -L 能查到规则已经生效了啊

ragnaroks

2016-12-14 10:21:38 +08:00

@RandomUser
我之前也无法理解为什么会这样,但是先停止编辑后再启动就正常.
另外还有一个 bug(?),你使用命令添加并保存的文件并不是 iptables 启动时加载的那个文件.(这一条在 hostus 的 vps 上成功复现)

LuvF

2016-12-14 10:28:36 +08:00

1 楼 +1

RandomUser

2016-12-14 10:39:23 +08:00

@LuvF 脚本里的几条命令看上去很简单，不用设置针对 ocserv 的转发？

RandomUser

2016-12-14 10:51:08 +08:00

@ragnaroks 把脚本改成下面这样又试了一次， reboot 后还是连不上

systemctl stop iptables.service
iptables -P INPUT ACCEPT
..........
service iptables save
systemctl enable iptables.service
systemctl start iptables.service

ragnaroks

2016-12-14 10:55:12 +08:00

service iptables save?
是 iptables-servers 的还是重定向 iptables-save 的?

ragnaroks

2016-12-14 10:57:24 +08:00

对了,我差点忘了,你检查一下 selinux 是不是开启状态的,是开启中的话是需要用 semanage 放行的,这个优先级比 iptables 高

ragnaroks

2016-12-14 11:01:32 +08:00

#新增允许的 sshd 监听端口
semanage port -a -t ssh_port_t -p tcp <sshd 端口>
#删除允许的 sshd 监听端口
semanage port -d -t ssh_port_t -p tcp <sshd 端口>

先添加你自己的端口,再删除 22 端口就好

winterock

2016-12-14 12:39:49 +08:00

不要折腾 iptables 了，用 firewall-cmd ，没有就装一个。

RandomUser

2016-12-14 12:56:04 +08:00

@ragnaroks
[root@default ~]# semanage
-bash: semanage: command not found
//这个版本的 centos 应该是没有 selinux 的，没有 /etc/selinux/这个目录

是 iptables-servers 的还是重定向 iptables-save 的?
//这句话是什么意思？我不太清楚 service iptables save 到底是干嘛的，以为就是保存配置文件

RandomUser

2016-12-14 12:57:12 +08:00

@winterock 嗯我可以试试，就是 firewalld 只要上面那几条命令就足够 ocserv 用了吗？

hjc4869

2016-12-14 13:34:45 +08:00

现在还能 service iptables save?
应该 iptables-save>/etc/sysconfig/iptables 吧？

RandomUser

2016-12-14 13:38:45 +08:00

@hjc4869 不知道呀，我没研究过，都是照着脚本来的
那 firewalld 我刚试了一下为什么 reboot 也不行

RandomUser

2016-12-14 13:41:55 +08:00

@winterock 这是什么原因啊？

[root /]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2016-12-14 00:31:08 EST; 9min ago
Docs: man:firewalld(1)
Main PID: 123 (firewalld)
CGroup: /system.slice/firewalld.service
└─123 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Dec 14 00:20:15 default.hostname firewalld[1011]: WARNING: ebtables not usable, disabling ethernet bridge firewall.
Dec 14 00:25:40 default.hostname firewalld[1011]: WARNING: ipset not usable, disabling ipset usage in firewall.
Dec 14 00:31:05 default.hostname systemd[1]: Stopping firewalld - dynamic firewall daemon...
Dec 14 00:31:05 default.hostname systemd[1]: Stopped firewalld - dynamic firewall daemon.
Dec 14 00:31:08 default systemd[1]: Starting firewalld - dynamic firewall daemon...
Dec 14 00:31:08 default systemd[1]: Started firewalld - dynamic firewall daemon.
Dec 14 00:31:08 default firewalld[123]: WARNING: ipset not usable, disabling ipset usage in firewall.
Dec 14 00:31:08 default firewalld[123]: WARNING: ebtables not usable, disabling ethernet bridge firewall.
Dec 14 00:31:08 default firewalld[123]: WARNING: '/usr/sbin/ip6tables-restore -n' failed:
Dec 14 00:31:08 default firewalld[123]: ERROR: COMMAND_FAILED

winterock

2016-12-14 18:09:53 +08:00

@RandomUser 具体的我也不熟悉。建议使用 stackoverflow.com ，上面一大把。