2 сервер
[root@~]# systemctl status firewalld
○ firewalld.service
Loaded: masked (Reason: Unit firewalld.service is masked.)
Active: inactive (dead)
[root@~]# iptables -L -n
bash: iptables: command not found
[root@~]# cat /etc/os-release
NAME="AlmaLinux"
VERSION="9.3 (Shamrock Pampas Cat)"
ID="almalinux"
ID_LIKE="rhel centos fedora"
VERSION_ID="9.3"
PLATFORM_ID="platform:el9"
PRETTY_NAME="AlmaLinux 9.3 (Shamrock Pampas Cat)"
ANSI_COLOR="0;34"
LOGO="fedora-logo-icon"
CPE_NAME="cpe:/o:almalinux:almalinux:9::baseos"
HOME_URL="https://almalinux.org/"
DOCUMENTATION_URL="https://wiki.almalinux.org/"
BUG_REPORT_URL="https://bugs.almalinux.org/"
ALMALINUX_MANTISBT_PROJECT="AlmaLinux-9"
ALMALINUX_MANTISBT_PROJECT_VERSION="9.3"
REDHAT_SUPPORT_PRODUCT="AlmaLinux"
REDHAT_SUPPORT_PRODUCT_VERSION="9.3"
Нужна помощь
Re: Нужна помощь
Последний раз редактировалось pomoyka Чт мар 21, 2024 10:41 pm, всего редактировалось 1 раз.
Re: Нужна помощь
iptable
csf
fail2ban
modsecure
Все работает, конфликтов не вижу.
centos 7 есть проблема с iptables и fail2ban , не отсекает (не блокирует) по ip на подлете.
Видимо проблема из той же оперы. Ключ к разгадке один и тот же.
ubuntu 22.04 то же самое, с тем же вопросом обратились.
csf
fail2ban
modsecure
Все работает, конфликтов не вижу.
centos 7 есть проблема с iptables и fail2ban , не отсекает (не блокирует) по ip на подлете.
Видимо проблема из той же оперы. Ключ к разгадке один и тот же.
ubuntu 22.04 то же самое, с тем же вопросом обратились.
Re: Нужна помощь
При перезагрузке сервера , начал отваливаться csf firewall, падает с ошибкой при загрузке. Но видимо пока он не работает , появляются правила iptables, т.е iptables начинает работать правильно.
Error: FASTSTART: (Packet Filter IPv4) [] [iptables-restore: line 14 failed]. Try restarting csf with FASTSTART disabled, at line 5790 in /usr/sbin/csf
Есть идеи как решить?
Error: FASTSTART: (Packet Filter IPv4) [] [iptables-restore: line 14 failed]. Try restarting csf with FASTSTART disabled, at line 5790 in /usr/sbin/csf
Есть идеи как решить?
Re: Нужна помощь
2024-02-28 12:48:47,039 fail2ban.actions [410439]: WARNING [dovecot] 45.129.14.128 already banned
2024-02-28 12:48:47,053 fail2ban.utils [410439]: ERROR 7ff67af8e8f0 -- exec: iptables -w -n -L INPUT | grep -q 'f2b-dovecot[ \t]'
2024-02-28 12:48:47,053 fail2ban.utils [410439]: ERROR 7ff67af8e8f0 -- stderr: '# Warning: iptables-legacy tables present, use iptables-legacy to see them'
2024-02-28 12:48:47,053 fail2ban.utils [410439]: ERROR 7ff67af8e8f0 -- returned 1
2024-02-28 12:48:47,054 fail2ban.CommandAction [410439]: ERROR Invariant check failed. Trying to restore a sane environment
2024-02-28 12:48:47,088 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- exec: iptables -w -D INPUT -p tcp -m multiport --dports pop3,pop3s,imap,imaps,submission,465,sieve -j f2b-dovecot
iptables -w -F f2b-dovecot
iptables -w -X f2b-dovecot
2024-02-28 12:48:47,088 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- stderr: "iptables v1.8.8 (nf_tables): Chain 'f2b-dovecot' does not exist"
2024-02-28 12:48:47,088 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- stderr: "Try `iptables -h' or 'iptables --help' for more information."
2024-02-28 12:48:47,089 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- stderr: 'iptables: No chain/target/match by that name.'
2024-02-28 12:48:47,089 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- stderr: 'iptables: No chain/target/match by that name.'
2024-02-28 12:48:47,089 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- returned 1
2024-02-28 12:48:47,133 fail2ban.actions [410439]: NOTICE [dovecot] Reban 45.129.14.128, action 'iptables-multiport'
2024-02-28 12:48:50,461 fail2ban.filter [410439]: INFO [exim] Found 45.129.14.128 - 2024-02-28 12:48:50
2024-02-28 12:48:50,508 fail2ban.actions [410439]: WARNING [exim] 45.129.14.128 already banned
2024-02-28 12:48:50,523 fail2ban.utils [410439]: ERROR 7ff67a1d8810 -- exec: iptables -w -n -L INPUT | grep -q 'f2b-exim[ \t]'
2024-02-28 12:48:50,524 fail2ban.utils [410439]: ERROR 7ff67a1d8810 -- stderr: '# Warning: iptables-legacy tables present, use iptables-legacy to see them'
2024-02-28 12:48:50,524 fail2ban.utils [410439]: ERROR 7ff67a1d8810 -- returned 1
2024-02-28 12:48:50,524 fail2ban.CommandAction [410439]: ERROR Invariant check failed. Trying to restore a sane environment
2024-02-28 12:48:50,543 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- exec: iptables -w -D INPUT -p tcp -m multiport --dports smtp,465,submission -j f2b-exim
iptables -w -F f2b-exim
iptables -w -X f2b-exim
2024-02-28 12:48:50,543 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- stderr: "iptables v1.8.8 (nf_tables): Chain 'f2b-exim' does not exist"
2024-02-28 12:48:50,543 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- stderr: "Try `iptables -h' or 'iptables --help' for more information."
2024-02-28 12:48:50,544 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- stderr: 'iptables: No chain/target/match by that name.'
2024-02-28 12:48:50,544 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- stderr: 'iptables: No chain/target/match by that name.'
2024-02-28 12:48:50,544 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- returned 1
2024-02-28 12:48:47,053 fail2ban.utils [410439]: ERROR 7ff67af8e8f0 -- exec: iptables -w -n -L INPUT | grep -q 'f2b-dovecot[ \t]'
2024-02-28 12:48:47,053 fail2ban.utils [410439]: ERROR 7ff67af8e8f0 -- stderr: '# Warning: iptables-legacy tables present, use iptables-legacy to see them'
2024-02-28 12:48:47,053 fail2ban.utils [410439]: ERROR 7ff67af8e8f0 -- returned 1
2024-02-28 12:48:47,054 fail2ban.CommandAction [410439]: ERROR Invariant check failed. Trying to restore a sane environment
2024-02-28 12:48:47,088 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- exec: iptables -w -D INPUT -p tcp -m multiport --dports pop3,pop3s,imap,imaps,submission,465,sieve -j f2b-dovecot
iptables -w -F f2b-dovecot
iptables -w -X f2b-dovecot
2024-02-28 12:48:47,088 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- stderr: "iptables v1.8.8 (nf_tables): Chain 'f2b-dovecot' does not exist"
2024-02-28 12:48:47,088 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- stderr: "Try `iptables -h' or 'iptables --help' for more information."
2024-02-28 12:48:47,089 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- stderr: 'iptables: No chain/target/match by that name.'
2024-02-28 12:48:47,089 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- stderr: 'iptables: No chain/target/match by that name.'
2024-02-28 12:48:47,089 fail2ban.utils [410439]: ERROR 7ff67a1f3ab0 -- returned 1
2024-02-28 12:48:47,133 fail2ban.actions [410439]: NOTICE [dovecot] Reban 45.129.14.128, action 'iptables-multiport'
2024-02-28 12:48:50,461 fail2ban.filter [410439]: INFO [exim] Found 45.129.14.128 - 2024-02-28 12:48:50
2024-02-28 12:48:50,508 fail2ban.actions [410439]: WARNING [exim] 45.129.14.128 already banned
2024-02-28 12:48:50,523 fail2ban.utils [410439]: ERROR 7ff67a1d8810 -- exec: iptables -w -n -L INPUT | grep -q 'f2b-exim[ \t]'
2024-02-28 12:48:50,524 fail2ban.utils [410439]: ERROR 7ff67a1d8810 -- stderr: '# Warning: iptables-legacy tables present, use iptables-legacy to see them'
2024-02-28 12:48:50,524 fail2ban.utils [410439]: ERROR 7ff67a1d8810 -- returned 1
2024-02-28 12:48:50,524 fail2ban.CommandAction [410439]: ERROR Invariant check failed. Trying to restore a sane environment
2024-02-28 12:48:50,543 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- exec: iptables -w -D INPUT -p tcp -m multiport --dports smtp,465,submission -j f2b-exim
iptables -w -F f2b-exim
iptables -w -X f2b-exim
2024-02-28 12:48:50,543 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- stderr: "iptables v1.8.8 (nf_tables): Chain 'f2b-exim' does not exist"
2024-02-28 12:48:50,543 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- stderr: "Try `iptables -h' or 'iptables --help' for more information."
2024-02-28 12:48:50,544 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- stderr: 'iptables: No chain/target/match by that name.'
2024-02-28 12:48:50,544 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- stderr: 'iptables: No chain/target/match by that name.'
2024-02-28 12:48:50,544 fail2ban.utils [410439]: ERROR 7ff67ae5d930 -- returned 1
Re: Нужна помощь
ls -al /yum.repos.d/
Re: Нужна помощь
Отвал csf при загрузке, на одном из серверов решился.
If you enable this option then whenever a CLI request to restart csf is used
lfd will restart csf instead within LF_PARSE seconds
This feature can be helpful for restarting configurations that cannot use
FASTSTART
LFDSTART = on
Ползунок в on , пока что все ок ,отсительно firewall , но дурит иногда fai2ban, и iptables.
If you enable this option then whenever a CLI request to restart csf is used
lfd will restart csf instead within LF_PARSE seconds
This feature can be helpful for restarting configurations that cannot use
FASTSTART
LFDSTART = on
Ползунок в on , пока что все ок ,отсительно firewall , но дурит иногда fai2ban, и iptables.
Re: Нужна помощь
Панель поставила сегодня, на almalinux 9.3, не вижу я проблем с таблицами iptables.
- Вложения
-
- iptables_screen.png (95.71 КБ) 547 просмотров
Re: Нужна помощь
ls -al /etc/yum.repos.d/
total 68
drwxr-xr-x. 2 root root 4096 Jan 14 22:35 .
drwxr-xr-x. 125 root root 8192 Feb 28 12:54 ..
-rw-r--r--. 1 root root 232 Jan 2 2023 alma-brainy.repo
-rw-r--r--. 1 root root 1023 Jan 15 01:35 almalinux-appstream.repo
-rw-r--r--. 1 root root 987 Jan 15 01:35 almalinux-baseos.repo
-rw-r--r--. 1 root root 951 Nov 7 22:59 almalinux-crb.repo
-rw-r--r--. 1 root root 987 Nov 7 22:59 almalinux-extras.repo
-rw-r--r--. 1 root root 1107 Nov 7 22:59 almalinux-highavailability.repo
-rw-r--r--. 1 root root 951 Nov 7 22:59 almalinux-nfv.repo
-rw-r--r--. 1 root root 963 Nov 7 22:59 almalinux-plus.repo
-rw-r--r--. 1 root root 1107 Nov 7 22:59 almalinux-resilientstorage.repo
-rw-r--r--. 1 root root 939 Nov 7 22:59 almalinux-rt.repo
-rw-r--r--. 1 root root 951 Nov 7 22:59 almalinux-sap.repo
-rw-r--r--. 1 root root 999 Nov 7 22:59 almalinux-saphana.repo
-rw-r--r--. 1 root root 1195 Jan 14 22:35 brainy.repo
Изначально их нет. Появляются некоторое время спустя, по мере работы iptables и fail2ban. Нашел похожие темы на просторах англоговорящего тырнета, там сипмтомы один в один.У людей стоят разные панели, у кого-то вообще не стоит (панель я имею ввиду) - просто ось с gui или без не указывается.
В общем весь диалог людей можно свести к следующим тезисам
1. Конфликт версий фаервола и ядра оси.(Часто обсуждают)
2. Практически у каждого проблемы начинались через 2-3 месяца после установски csf.
3. После переустановки csf у некоторых проблемы исчезали, у части людей проблемы возвращались тоже через 2-3 мес.
Заметил, что у меня проблемы тоже начались через 2-3 мес.
Пока что переменные такие.
1.CSF обновил версию сам, я его не обновлял, команду на обновление точно никто не давал. В логах есть запись о том что он обновился на другую версию (может с обновлением панели прилетело).
2.Иногда , по каким-то причинам плохо восстанавливаются таблицы iptables (к примеру перезагрузка сервера либо перезапуск iptables или csf или fai2ban) Fail2ban при перезапуске может вообще забыть включить половину правил, либо они падают с ошибкой, еще раз рестарт и все ок.
Сказать что-то конкретное не могу, т.к связь проблемы с действие не установлена, пока что наблюдаю.
А бывает такое, что в reject (Exim) попали 70 правил, по ходу работы fail2ban нашел еще 25 т.е быть должно 95 в сумме, но нет, видно только 70 , а блокировка что самое интересное по ip адресам которых не видно в таблице (не отображаются как ip --- reject ---icm итд.) работает.
Перезагружаемся и оп, вот и все 95 правил.....
Причем есть 2 абсолютно одинаковые VM. Специально поднимал на Alma 9.3. чтобы мониторить.
У одной одни проблемы у другой другие.
1 VM проблема с сертификатами
2 VM Проблема в csf и fail2ban
Вообще есть подозрение, что clamav нагружая процессор на 97% при работе, ложит систему, может где-то из-за нехватки ресурса cpu возникает конфликт при нагрузке.
Такое было на серверах windows, пока не ограничил работу некоторых програмуль по ядрам. На линуксоподобных осях, не знаю может ли быть такое.