LINUX.ORG.RU
ФорумGeneral

Комп не выключается из-за Iptables


0

1

Не могу понять в чем дело. Задал правила Iptables, по умолчанию INPUT OUTPUT и FORWARDING DORP, а затем уже что-то разрешал. Итог, система работает, в интернет выйти могу :). А вот комп больше не выключается и не перезагружается, зависает после строчки Advanced Power Management.

Система Linux Mint 17 Qiana, 64 bit.

В чем дело? Системе нужен доступ в интернет, чтобы выключится/перезагрузиться? Как решить эту проблему? Помогите.

ПСы. Писать скрипт на перед перезагрузку, чтобы --flush iptables желания нет, тем более, что программы на Playonlinux тоже не запускаются с установленными правилами iptables, только когда INPUT OUTPUT ACCEPT работают.

sys-apps/systemd и sys-fs/udev взаимные блокировки
Тормоза в Unity

по умолчанию INPUT OUTPUT и FORWARDING DORP

Зачем?

А вот комп больше не выключается и не перезагружается, зависает после строчки Advanced Power Management.

Сделайте выше этих правил ACCEPT для 127.0.0.1.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

СПАСИБО ПОМОГЛО!

INPUT OUTPUT и FORWARDING DORP - для надежности.

Сразу после дропов добавил ваши:

iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

Хотя у меня уже было:

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

И это было и осталось iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP iptables -A INPUT -i wlan0 -s 127.0.0.0/8 -j DROP

Где-то я что-то не понимаю в этих iptables

explorer
() автор топика
Ответ на: комментарий от kostik87

$ sudo iptables-save # Generated by iptables-save v1.4.21 on Sat Jul 12 14:22:33 2014 *nat :PREROUTING ACCEPT [68:7582] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [637:51404] :POSTROUTING ACCEPT [208:13201] -A POSTROUTING -o eth0 -j MASQUERADE -A POSTROUTING -o wlan0 -j MASQUERADE -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE COMMIT # Completed on Sat Jul 12 14:22:33 2014 # Generated by iptables-save v1.4.21 on Sat Jul 12 16:22:33 2014 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -i lo -j ACCEPT -A INPUT -d 255.255.255.255/32 -i eth0 -j DROP -A INPUT -d 192.168.255.255/32 -i eth0 -j DROP -A INPUT -d 192.168.1.255/32 -i eth0 -j DROP -A INPUT -d 255.255.255.255/32 -i wlan0 -j DROP -A INPUT -d 192.168.255.255/32 -i wlan0 -j DROP -A INPUT -d 192.168.1.255/32 -i wlan0 -j DROP -A INPUT -d 10.0.0.0/8 -j DROP -A INPUT -d 169.254.0.0/16 -j DROP

itd

explorer
() автор топика
Ответ на: комментарий от explorer

$ sudo iptables-save

# Generated by iptables-save v1.4.21 on Sat Jul 12 14:22:33 2014

*nat

:PREROUTING ACCEPT [68:7582]

:INPUT ACCEPT [0:0]

:OUTPUT ACCEPT [637:51404]

:POSTROUTING ACCEPT [208:13201]

-A POSTROUTING -o eth0 -j MASQUERADE

-A POSTROUTING -o wlan0 -j MASQUERADE

-A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

COMMIT # Completed on Sat Jul 12 14:22:33 2014

# Generated by iptables-save v1.4.21 on Sat Jul 12 14:22:33 2014

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -i lo -j ACCEPT

-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP

-A INPUT -d 192.168.255.255/32 -i eth0 -j DROP

-A INPUT -d 192.168.1.255/32 -i eth0 -j DROP

-A INPUT -d 255.255.255.255/32 -i wlan0 -j DROP

-A INPUT -d 192.168.255.255/32 -i wlan0 -j DROP

-A INPUT -d 192.168.1.255/32 -i wlan0 -j DROP

-A INPUT -d 10.0.0.0/8 -j DROP

-A INPUT -d 169.254.0.0/16 -j DROP

explorer
() автор топика
Ответ на: комментарий от explorer 
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP 
-A INPUT -d 192.168.255.255/32 -i eth0 -j DROP 
-A INPUT -d 192.168.1.255/32 -i eth0 -j DROP 
-A INPUT -d 255.255.255.255/32 -i wlan0 -j DROP 
-A INPUT -d 192.168.255.255/32 -i wlan0 -j DROP 
-A INPUT -d 192.168.1.255/32 -i wlan0 -j DROP 
-A INPUT -d 10.0.0.0/8 -j DROP 
-A INPUT -d 169.254.0.0/16 -j DROP

Вот эти правила ненужны.

У вас же для input стоит политика drop. 

*filter 
:INPUT DROP [0:0] 
:FORWARD DROP [0:0] 
:OUTPUT DROP [0:0]

Читаем ещё раз: www.linux.org.ru/wiki/en/Lorcode

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от explorer

explorer

Спасибо,да, вижу, дубли, вы правы.

Дело не в дублях.

Вот эта строка: 

:INPUT DROP [0:0]
Означает, что по умолчанию, для любого пакета в цепочке INPUT, для которого нет правила выполняется действие DROP.

Ниже вы добавляете правило с действием DROP: 

-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP 
-A INPUT -d 192.168.255.255/32 -i eth0 -j DROP 
-A INPUT -d 192.168.1.255/32 -i eth0 -j DROP 
-A INPUT -d 255.255.255.255/32 -i wlan0 -j DROP 
-A INPUT -d 192.168.255.255/32 -i wlan0 -j DROP 
-A INPUT -d 192.168.1.255/32 -i wlan0 -j DROP 
-A INPUT -d 10.0.0.0/8 -j DROP 
-A INPUT -d 169.254.0.0/16 -j DROP
Они не имеют смысла, т.к., если бы их не было, то пакеты всё равно были отброшены, т.к. в цепочке INPUT вы выставлили политику DROP.

Сейчас вы вообще разрешили прохождение пакетов только через петлевое устройство: 

-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -i lo -j ACCEPT
И прохождение транзитных пакетов: 
*nat
:PREROUTING ACCEPT [68:7582]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [637:51404]
:POSTROUTING ACCEPT [208:13201]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o wlan0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

kostik87 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
sys-apps/systemd и sys-fs/udev взаимные блокировки
General
Тормоза в Unity