LINUX.ORG.RU
ФорумAdmin

Ошибка при рестарте iptables

 , , vps server


0

1

Добрый день уважаемые форумчане! Хочу настроить samba на vps сервере для подключения на домашнем компьютере локального диска. Для этого, как я понимаю нужно открыть некоторые порты. Для этого необходимо изменить iptables. Но при рестарте данного сервиса происходит следующая ошибка:

 
iptables: Flushing firewall rules: [  OK  ]
iptables: Setting chains to policy ACCEPT: nat mangle filte[  OK  ]
iptables: Unloading modules: [  OK  ]
iptables: Applying firewall rules:  [  OK  ]
iptables: Loading additional modules: nf_conntrack_netbios_[FAILED]

Могли бы вы мне подсказать, как устранить данную ошибку? В гугле не смог найти ответ. ОС - CentOS И да.. Являюсь новичком пока что.

Спасибо

Ответ на: комментарий от invokercd

Ты бы лучше пояснил чего не хватает, а не показывал какой ты умный =) Но я смотрю ты любитель потроллить. Ну что поделать... Пусть у тебя все получается! =)

AGENTxXx
() автор топика

Судя по всему вы действовали по готовому руководству, криво отредактировали файл /etc/sysconfig/iptables-config и теперь предлагаете гадать что именно вы сделали не так? Ну проверьте, что правильно указали имя модуля в строке IPTABLES_MODULES.

mky ★★★★★
()
Ответ на: комментарий от mky

Ну его формировал и я, и файерволл через system-config-firewall-tui

Вот текст содержащийся в файле iptables:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

На счет того, что не скинул сразу же - подумал что ошибка не из-за того, что написано, а из-за того, что не хватает модуля и его как то нужно установить. версия iptables стоит последняя

В папке sysconfig еще так-то есть файлы ip6tables, ip6tables-config, iptables-config.

Вот.

Файерволл пытался отключать и включать... Без толку. При его закрытии в консоле следующий лог:

Configuration failed
/usr/sbin/lokkit -f -v --enabled --service=ssh --service=http --service=https --service=samba-client --addmodule=nf_conntrack_netbios_ns --service=samba --addmodule=nf_conntrack_netbios_ns
iptables: Flushing firewall rules: [  OK  ]
iptables: Setting chains to policy ACCEPT: nat mangle filter [  OK  ]
iptables: Unloading modules: [  OK  ]
ip6tables: Flushing firewall rules: [  OK  ]
ip6tables: Setting chains to policy ACCEPT: mangle filter [  OK  ]
ip6tables: Unloading modules: [  OK  ]
iptables: Applying firewall rules: [  OK  ]
iptables: Loading additional modules: nf_conntrack_netbios_ns [FAILED]
ip6tables: Applying firewall rules: [  OK  ]
ip6tables: Loading additional modules: nf_conntrack_netbios_ns [FAILED]
Failed to start iptables.
Failed to start ip6tables.

Думаю сейчас все подробно расписал.

AGENTxXx
() автор топика
Ответ на: комментарий от AGENTxXx

Я то как раз не любитель. Ты что то поменял, и теперь все должны гадать почему у тебя что то перестало работать. Даже школьник понимает, что для начала нужно показать что он менял. Ты в каком классе кстати?

invokercd ★★★★
()
Ответ на: комментарий от invokercd

invokercd - иди плиз, лесом! =) От тебя все равно тут толку нет)) А если хочешь самоутвердиться - попробуй в Russian AI Cup 2013 поучаствовать, что ли! =)

AGENTxXx
() автор топика

Для этого, как я понимаю нужно открыть некоторые порты.

Если у тебя не iptables не грузит правила, то чем твои порты закрыты интересно? Если грузит - в чем проблема?

Почему вообще nf_conntrack_netbios_ns, а не просто nf_conntrack и зачем он тебе если ты его не используешь в правилах?

Вообщем давай рассказывай чего менял и как...

Suntechnic ★★★★★
()
Ответ на: комментарий от AGENTxXx

Я тебе совет дал как правильно топик создавать что бы тебе помочь могли, самоутверждением тут не занимаюсь. В общем всего наилучшего.

invokercd ★★★★
()
Ответ на: комментарий от AGENTxXx

а из-за того, что не хватает модуля

Ну попробуйте выполнить команды:

modprobe nf_conntrack_netbios_ns
lsmod | grep netbios
Там будет видно, загрузился ли этот модуль или нет. Если его нет, то в случае нормального железа значит, что у вас ядро не дистрибутивное, а в случае виртуального сервера, скорее всего, значит что у вас правиртуализация и загрузка модулей ядра из виртуалки невозможна.

Если сервер в одной сети с вами, то просто разрешите все пакеты с адреса компа, к которому подключаете диск по самбе. Если между эти компами интернет, лучше сделайте между ними шифрованный тунель и гоняте самбу через него, разрешив в iptables все пакеты из тунеля. Модуль nf_conntrack_netbios_ns особо не нужен.

mky ★★★★★
()
Ответ на: комментарий от Suntechnic

)) Да ни фига я не менял))) Дело было так. Поставил CentOS, Установил набор web-разраба (пакет), Vesta для админки, поставил Git, решил настроить samba. Нашел видео.. по первому сделал - не получилось (скорее всего потому, что там объясняли о настройке сервера в одной сети, т.к. так прописывалась workgroup). Ну и в одной видюшке было показано, что нужно установить файерволл. Ну поставил я его - все равно толку не было... Вот и все.. Не в каких настройках не ползал. Менял только конфиг smb.conf. Вот его содержания:

[root@ns1 samba]# cat smb.conf
#Global settings
[global]
workgroup = workgroup
security = user
map to guest = Bad User

[incoming]
path = /home/agentxxx/incoming
readonly = No
valid users = Windows

Создавал еще пользователя на ОСи и в samba (с именем Windows). В итоге пытался подключиться к серваку - но толку нет. Не хочет заходить и все). Вот текущий статус iptables

[root@ns1 sysconfig]# /etc/init.d/iptables status
Table: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Table: mangle
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  —  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp —  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  —  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     tcp  —  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    ACCEPT     tcp  —  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
6    ACCEPT     tcp  —  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
7    ACCEPT     udp  —  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
8    ACCEPT     udp  —  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
9    ACCEPT     udp  —  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
10   ACCEPT     udp  —  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
11   ACCEPT     tcp  —  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139
12   ACCEPT     tcp  —  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445
13   REJECT     all  —  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  —  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Зачем мне нужны nf_conntrack_netbios_ns... На верное для того, чтобы смог подключить сетевой диск.

А так - мне вообще по барабану на какой то nf_conntrack_netbios_ns, просто хотел не через ftp сидеть и с сайтом работать, а через сетевой диск, чтобы можно было на прямую.

Ну и я под CentOS'ом 5 день. Первый раз так сказать начал работать с командной строкой под Linux системой. Поэтому некоторые вопросы являются ппц не понятными.

AGENTxXx
() автор топика
Ответ на: комментарий от mky

Пробовал я modprobe. Вот что говорит: modprobe nf_conntrack_netbios_ns FATAL: Module nf_conntrack_netbios_ns not found.

Т.е. нужно все ж куда то засунуть этот модуль. Не знаю почему, но видно моя samba требует nf_conntrack_netbios_ns.

Связь через сеть интернет. Система была из дистра CentOS: Centos 6 x86

AGENTxXx
() автор топика
Ответ на: комментарий от AGENTxXx

Каталог /lib/modules/ есть? Если есть, то что выводит команда:

find /lib/modules/ -iname '*netbios*'

Про виртуалку вы нечего не ответили, какая именно система виртуализации?

Не знаю почему, но видно моя samba требует nf_conntrack_netbios_ns.

В чём это проявляется? Лично я всегда обходился в настройке самбы без этого модуля.

Если у вас сервак торчит в интерент, то весьма смело запускать на нём самбу и открывать самбовские порты для всех адресов.

А диск, возможно, вы не можете подключить, потому что ваш провайдер фильтрует 135-139 порты, они это любят, чтобы не выставлять в инет виндозные компы абонентов.

mky ★★★★★
()

Могли бы вы мне подсказать, как устранить данную ошибку?

Если /proc/user_beancounters существует, это OpenVZ. Если это OpemVZ, соответствующий модуль должен быть разрешён в конфиге OpenVZ хост-системы.

Если /proc/user_beancounters не существует, можно гадать дальше...

AS ★★★★★
()
Ответ на: комментарий от AGENTxXx

А так - мне вообще по барабану на какой то nf_conntrack_netbios_ns, просто хотел не через ftp сидеть и с сайтом работать, а через сетевой диск, чтобы можно было на прямую.

SMB напрямую через интернет ? Вы серьёзно что-ли?

Не через ssh-туннель, не через vpn, а вот просто «напрямую»... просто нет слов.

hidden_4003
()
Ответ на: комментарий от hidden_4003

т.е. загрузить модуль должны именно на хост системе.

Ну а я что написал ? Чуть другими словами. В /etc/vz/vz.conf есть

## IPv4 iptables kernel modules to be enabled in CTs by default
IPTABLES="..."
## IPv6 ip6tables kernel modules
IP6TABLES="..."

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от mky

mky, папка modules есть, то там нет ни чего связанного с netbios. На счет самбы - я ток учусь))) Не совсем жалко, если его ломанут. Но самбу можно настроить и в защищенном режиме (если конечно я все правильно понимаю). Может есть более удобный способ сделать доступным сетевые диски? На счет того, фильтруют ли порты 135-139 - не знаю, нужно узнать.

AGENTxXx
() автор топика
Ответ на: комментарий от hidden_4003

hidden_4003 - вы видно очень хорошо знакомы с настройкой сети, но я вот к сожалению нет. И в моем понимании - ставим самбу, настраиваем доступ к нужным папкам, создаем пользователя для подключения в самбе, запускаем службы и цепляемся к дискам. Эт мое представление. Эт для меня - напрямую. На счет vpn - вопрос не изучал и пока не представляю что это)) Нужно почитать.

Вот лучше подскажите как правильно разрулить данную ситуацию.

AGENTxXx
() автор топика
Ответ на: комментарий от AS

AS, вы правы, файл user_beancounters существует. Как можно разрешить данный модуль?

AGENTxXx
() автор топика
Ответ на: комментарий от AGENTxXx

В текущей конфигруации никак.

1. Ваш интернет-провайдер скорее всего фильтрует этот диапазон. 2. Ваш хостер с высокой долей вероятности не будет загружать в ядро этот модуль.

Нужно поднимать vpn или любой другой тоннель (ipsec,pptp) и через него уже работать с сервером.

hidden_4003
()
Ответ на: комментарий от AS

Просто из Вашей фразы создается впечатление что ТС может сам решить проблему, что неверно, потому как контроля над хост-системой у него нет.

hidden_4003
()
Ответ на: комментарий от AGENTxXx

AS, папка vz отсутствует на сервере => и vz.conf тоже =(

Во-первых, не папка, а каталог, а, во-вторых, я же написал - в хост-системе. То есть, к хостеру вопрос. Я вот только не помню, есть на модули iptables какие-то ограничения у OpenVZ, или нет...

AS ★★★★★
()
Ответ на: комментарий от hidden_4003

Я правильно понимаю, что если я подниму туннель vpn или любой другой тоннель (ipsec,pptp) то я смогу сделать доступ к сетевым дискам? Если это так, то подскажите запрос в гугле как должен выглядеть. Буду тогда «курить» эту тему. Все равно с ftp работать совсем не то...

AGENTxXx
() автор топика
Ответ на: комментарий от hidden_4003

Просто из Вашей фразы создается впечатление что ТС может сам решить проблему

Это если не знать понятие «хост-система». Написано же: «должен быть разрешён в конфиге OpenVZ хост-системы». Но, похоже, так и есть - не знает.

AS ★★★★★
()
Ответ на: комментарий от AS

AS - ой простите, простите))) каталог))) Ну или директория. На работе рядом паренек под убунтой сидит, постоянно так же правит) Ок, постараюсь запомнить на будущее. Хорошо, задам еще вопрос хостеру - може что умное ответит.

У меня кста в панели есть OpenVPN Server и я его могу создать =) Как понимаю, мне скоро эт и предстоит сделать....

AGENTxXx
() автор топика
Ответ на: комментарий от AGENTxXx

У меня кста в панели есть OpenVPN Server и я его могу
создать =) Как понимаю, мне скоро эт и предстоит сделать...

Достигнуть обсуждаемого эффекта OpenVPN не поможет. Он поможет только упрятать smb или ftp в шифрованный канал.

AS ★★★★★
()

Просовывать CIFS через интернет - грязное извращение.
Подними apache с WebDAV'ом поверх https и авторизацией и юзай.
Только у центосового штатного апача могут быть неполадки в работе с седьмой и восьмой вендами, но это на практике проверить легко.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 2)
Ответ на: комментарий от AGENTxXx

Сможешь подмонтировать и юзать, если ты об этом. Как минимум гном (наутилус), кеды (дельфин) и венда умеют юзать вебдав.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Вроде как хорошая тема, нужно покурить в эту сторону. Спасибо. Вроде как по функционалу подходит. Тем более в винде через тотал сижу (для него плагин есть) - думаю норм будет.

AGENTxXx
() автор топика
Ответ на: комментарий от AGENTxXx

Веенда штатно умеет вебдав, без сторонних приблуд. Покопай тему, ага.
Единственное, повторюсь: у меня с апачем 2.2 или 2.0, не помню уже, были затыки клиентов под седьмой и восьмой вендами, а ХР работала на ура. Мне было плевать и поэтому причину я не выяснял, а вот тебе может быть неприятно. Поэтому начальное тестирование лучше проводить линуксовым клиентом или винХР.

thesis ★★★★★
()
Ответ на: комментарий от AGENTxXx

Тем более в винде через тотал сижу (для него плагин есть)

FAR, вроде бы, умеет, кроме ftp, sftp и scp. Да и, вообще, надо нормальные ОС использовать. :-)

AS ★★★★★
()
Ответ на: комментарий от hidden_4003

hidden_4003 - я частично извращенец в этом плане. Кодинг происходит у меня в Notepad++. Ну а эт даже не IDE. По своим вкусам пока не нашел нужную IDE. По тихоньку начинаю перебираться на Sublime Text. Просто к хорошему быстро привыкаешь, а у нас на работе и сетевые диски, и гит, и гитлаб. Очень удобно. Хотел себе такую же фишечку замутить.

Ну нужно же учиться чуть админить))) Не знаю как для вас, мне вот хотелось бы настроить так, чтобы было максимально удобно.

AGENTxXx
() автор топика
Ответ на: комментарий от AGENTxXx

Кодинг происходит у меня в Notepad++

Думаю, не ошибусь, если предположу, что в редакторе FAR-а есть подсветка всяких синтаксисов...

AS ★★★★★
()
Ответ на: комментарий от AS

)) Ну во первых - кроме как web-технологии, я уважаю c#. Но он к сожалению нормально работает под виндой. Во вторых - Visual Studio - шикарная среда для разработки. В третьих - курсы в универе по линуху были очень унылыми - grep, cat, sh и еще пару команд - все. Сетевые технологии - работа в программах-эмуляторах. Так что с линуксом не знаком, как разработчик, поэтому у не осваивал. А сейчас - нужен веб-сервер, т.к. дешевле, функциональней.

AGENTxXx
() автор топика
Ответ на: комментарий от thesis

thesis, а вот с этим проблемы видно будут. У меня win 8.1. Ну если что, можно виртуалку с xp поставить - все равно только кодить, так что свою задачу выполнит - хотя эт все ж костыль)) Желательно нормально настроить на 8ке

AGENTxXx
() автор топика
Ответ на: комментарий от AGENTxXx

У меня это было давно и в дебьяне, и вообще я не помню подробностей. То есть, я не _обещаю_ тебе глюков, но если ВДРУГ они вылезут - имей в виду.

thesis ★★★★★
()
Ответ на: комментарий от AGENTxXx

я уважаю c#. Но он к сожалению нормально работает под виндой.

Ну так не надо уважать то, что рассчитано на разработку только для одной ОС. Как бы красиво оно не выглядело. Не спонсируй монополизацию рынка ПО.

AS ★★★★★
()
Ответ на: комментарий от AGENTxXx

Привыкать надо не к сетевым дискам, а к системам CI и прочим вещам, редактировать код на живом сервере это неправильно.

hidden_4003
()
Ответ на: комментарий от mky

В чём это проявляется? Лично я всегда обходился в настройке самбы без этого модуля.

Это модуль iptables который нафиг не нужен самбе, и еще большой вопрос нужен ли он iptables.

Я не знаю как там работает ваша самба и какие порты ей нужны, но у ТС вообще говоря открыты 137 и 138 для udp и tcp и 139 для tcp. Этого мало? Вообще правила грузяться - в чем паника я не понимаю. iptables явно ни при чем.

Suntechnic ★★★★★
()
Ответ на: комментарий от AGENTxXx

Komodo Edit. И тебе нафиг будут ненужны эти заморочки с сетевыми дисками. И с git оно работает и с svn. А с серваком тупо напрямую через FTP или SSH. Тебе даже подключить ничего не надо - отакрываешь редактора, открываешь нужный проект и вот у тебя уже доступ ко всем. Вот это и есть Максимально Удобно. А ваши сетевые диски это и есть извращение. Особенно если хостов больше 2 десятков.

Suntechnic ★★★★★
()
Ответ на: комментарий от hidden_4003

редактировать код на живом сервере это неправильно.

Но вот мне, например, часто надо. Поэтому для серверка пишется специальная обертка-отладчик для сайта и вперед. Она почти идеально изолирует мой код и снимается потом удалением пары строк.

Suntechnic ★★★★★
()
Ответ на: комментарий от Suntechnic

А я хз чего ему мало, но когда выполняю iptables restart вылазит как раз обращение к этому модулю и FALED. Ни чего дополнительного не ставил. На счет Komodo Edit - посмотрю. Спасибо за совет

AGENTxXx
() автор топика
Ответ на: комментарий от thesis

Что-т все равно не работает у меня даже через webdav Пишет:

[root@ns1 prokoder.ru]# cadaver http://localhost/webdav/
Could not connect to `localhost' on port 80:
Could not connect to server: Connection refused

Это я когда протестировать хотел. Все настройки брал отсюда: https://sites.google.com/site/dlasebamne/home/ustanovka-webdav-na-centos-5

Что можно с этим сделать?

AGENTxXx
() автор топика
Ответ на: комментарий от thesis

Видно открыты только след. порты:

tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      630/named
tcp        0      0 127.0.0.1:8081              0.0.0.0:*                   LISTEN      7002/httpd
tcp        0      0 127.0.0.1:8084              0.0.0.0:*                   LISTEN      1281/nginx
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      630/named

Как можно указать, чтобы 80 еще добавить?

AGENTxXx
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.