Сообщения henri_barbusse

Ошибка firewall-cmd --reload и падение DNS

Форум — Admin

Здравствуйте!

Прошу прощения, если подобный вопрос уже обсуждался, но я нуб, и нуб в отчаянии, ибо не могу понять причину проблемы. В локальной сети начали как-то очень странно обваливаться сайты - выборочно не прогружается ряд сайтов с сообщением connection refused.При том, что ряд других - прогружается. Мало того, при смене DNS-сервера в настройках DHCP сервера рабочие станции на Windows ловят не провисанный DNS, а отражают в графе «DNS-сервер» адрес локальный шлюза. Операционная система прокси - CentOS 7. Полез в прозрачный прокси, который мониторит данную подсеть И увидел, что встроенный фаерволл ругается. Новые правила принимать не хочет, ибо

firewall-cmd --reload

Error: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed

Вывод состояния службы выдает вот что. systemctl status firewalld -l

firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2019-08-02 13:45:25 +10; 7h ago
     Docs: man:firewalld(1)
 Main PID: 1047 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─1047 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Aug 02 13:45:33 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 13:45:33 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 15:43:27 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 15:43:27 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 15:43:34 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 15:43:34 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 16:18:13 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 16:18:13 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 19:56:46 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed
Aug 02 19:56:46 178-218-111-83-pool.kms.multinex.ru firewalld[1047]: ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore: line 7 failed

Я может чего-то не догоняю, но сама служба iptables в системе отключена, и ранее был настроен (не мной) firewall-cmd. Но вывод правл дает это iptables -L -n -v --line-numbers

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2563  304K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3     7086  501K INPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4     7086  501K INPUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5     7086  501K INPUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6       29  1292 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
7     5499  375K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     156K  122M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3     6796  420K FORWARD_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4     6796  420K FORWARD_IN_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5     6796  420K FORWARD_IN_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6     6795  420K FORWARD_OUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7     6795  420K FORWARD_OUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
8       14   560 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
9        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 6637 packets, 850K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     6637  850K OUTPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD_IN_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6795  420K FWDI_internal  all  --  enp4s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
2        1    40 FWDI_external  all  --  enp2s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
3        0     0 FWDI_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDI_drop  all  --  *      *       171.25.193.0/24      0.0.0.0/0

Chain FORWARD_OUT_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_internal  all  --  *      enp4s0  0.0.0.0/0            0.0.0.0/0           [goto]
2     6795  420K FWDO_external  all  --  *      enp2s0  0.0.0.0/0            0.0.0.0/0           [goto]
3        0     0 FWDO_public  all  --  *      +       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_drop  all  --  *      *       0.0.0.0/0            171.25.193.0/24

Chain FORWARD_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       all  --  enp4s0:1 enp4s0  0.0.0.0/0            0.0.0.0/0
2        0     0 DROP       all  --  enp4s0 enp4s0:1  0.0.0.0/0            0.0.0.0/0

Chain FWDI_drop (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDI_drop_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDI_drop_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDI_drop_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_drop_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_drop_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_drop_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_external (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        1    40 FWDI_external_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        1    40 FWDI_external_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        1    40 FWDI_external_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_external_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x64
2        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x65
3        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x66
4        1    40 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x67
5        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x68

Chain FWDI_external_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_external_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_internal (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6795  420K FWDI_internal_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     6795  420K FWDI_internal_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     6795  420K FWDI_internal_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_internal_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_internal_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_internal_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDI_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDI_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDI_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_public_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_public_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_drop (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_drop_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDO_drop_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDO_drop_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_drop_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_drop_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_drop_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_external (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6795  420K FWDO_external_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     6795  420K FWDO_external_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     6795  420K FWDO_external_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_external_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6781  419K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain FWDO_external_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_external_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_internal (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_internal_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDO_internal_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDO_internal_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_internal_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_internal_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_internal_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 FWDO_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 FWDO_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 FWDO_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_public_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
2        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain FWDO_public_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_public_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain INPUT_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     5587  384K IN_internal  all  --  enp4s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
2     1499  118K IN_external  all  --  enp2s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
3        0     0 IN_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain INPUT_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 IN_drop    all  --  *      *       171.25.193.0/24      0.0.0.0/0

Chain INPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_drop (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 IN_drop_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 IN_drop_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 IN_drop_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_drop_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_drop_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_drop_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_external (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     1499  118K IN_external_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     1499  118K IN_external_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     1499  118K IN_external_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4      130  5180 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_external_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      175 10460 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10001 ctstate NEW
3        1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW

Chain IN_external_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       51.15.96.247         0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       171.25.193.0/24      0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       51.15.47.17          0.0.0.0/0            reject-with icmp-port-unreachable
4        0     0 REJECT     all  --  *      *       80.66.135.13         0.0.0.0/0            reject-with icmp-port-unreachable

Chain IN_external_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_internal (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     5587  384K IN_internal_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     5587  384K IN_internal_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     5587  384K IN_internal_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_internal_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x69
2        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:631 ctstate NEW
3        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251          udp dpt:5353 ctstate NEW
4     1179 92826 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:137 ctstate NEW
5       73 16589 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:138 ctstate NEW
6        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
7        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10001 ctstate NEW
8        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3128 ctstate NEW
9        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW

Chain IN_internal_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       171.25.193.0/24      0.0.0.0/0            reject-with icmp-port-unreachable

Chain IN_internal_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_public (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 IN_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 IN_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 IN_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_public_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW

Chain IN_public_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_public_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination

В каком направлении мне вообще стоит копать, и что хотя бы приблизительно можно сделать? Заранее благодарен

centos, firewalld, iptables

henri_barbusse
(02.08.19 14:35:21 MSK)

17 комментариев

Проброс порта в сети с наличием прозрачного прокси.

Форум — Admin

Здравствуйте!

Прошу прощения за тупой вопрос, ибо задает его нуб зеленый, но с чего-то надо начинать?

Сеть представляет собой один из VLAN-ов, в котором торчит наибольшее число пользователей. В ней также установлен прозрачный прокси Squid на CentOS 7.1, который отслеживает не в меру использующих трафик в рабочее время пользователей. Однако, возникла задача установить в ней программно-аппаратный комплекс, которому в техзадании указано требование к пробросу портов 20000-20020. Нюанс в том, что все сетевое оборудование находится в распоряжении оператора, предоставляющего услуги по доступу в интернет. Рутовый доступ у меня есть только к самому прокси, и оно уже в нашем распоряжении и мы за него полностью отвечаем. Поэтому перед заявкой в контору на проведение работ следует перестраховаться, дабы на меня не повесили ответвенность за то, что доступ к аппарату отсутствует.

1)Мне необходимо после проброса портов на маршрутизаторе что-либо добавлять/изменять в iptables на прокси? 2)какие проблемы могут возникнуть у сервера в сети с такой конфигурацией?

сами настройки iptables.

iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      28M   27G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2       92  5780 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3     848K   62M INPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4     848K   62M INPUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5     848K   62M INPUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6      414 28664 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
7     198K   15M REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      134  7550 ACCEPT     tcp  --  enp2s0 enp4s0  0.0.0.0/0            192.168.88.24        tcp dpt:21
2        7   380 ACCEPT     tcp  --  enp2s0 enp4s0  0.0.0.0/0            192.168.88.24        tcp dpt:20
3      71M   56G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
4        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
5    1843K  121M FORWARD_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6    1843K  121M FORWARD_IN_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7    1843K  121M FORWARD_IN_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
8    1843K  121M FORWARD_OUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0
9    1843K  121M FORWARD_OUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0
10       0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
11       5   252 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 6021K packets, 5050M bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      33M   28G OUTPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD_IN_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    1843K  121M FWDI_internal  all  --  enp4s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
2        2   100 FWDI_external  all  --  enp2s0 *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FORWARD_OUT_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        5   252 FWDO_internal  all  --  *      enp4s0  0.0.0.0/0            0.0.0.0/0           [goto]
2    1843K  121M FWDO_external  all  --  *      enp2s0  0.0.0.0/0            0.0.0.0/0           [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FORWARD_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_external (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        2   100 FWDI_external_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        2   100 FWDI_external_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        2   100 FWDI_external_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_external_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_external_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_external_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_internal (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    1843K  121M FWDI_internal_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2    1843K  121M FWDI_internal_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3    1843K  121M FWDI_internal_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDI_internal_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_internal_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDI_internal_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_external (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    1843K  121M FWDO_external_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2    1843K  121M FWDO_external_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3    1843K  121M FWDO_external_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_external_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    1843K  121M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_external_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_external_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_internal (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        5   252 FWDO_internal_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        5   252 FWDO_internal_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        5   252 FWDO_internal_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FWDO_internal_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_internal_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain FWDO_internal_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain INPUT_ZONES (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     638K   50M IN_internal  all  --  enp4s0 *       0.0.0.0/0            0.0.0.0/0           [goto]
2     210K   13M IN_external  all  --  enp2s0 *       0.0.0.0/0            0.0.0.0/0           [goto]

Chain INPUT_ZONES_SOURCE (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain INPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_external (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     210K   13M IN_external_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     210K   13M IN_external_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     210K   13M IN_external_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_external_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    30959 1847K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10001 ctstate NEW
3       21  1048 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW

Chain IN_external_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_external_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_internal (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     638K   50M IN_internal_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2     638K   50M IN_internal_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     638K   50M IN_internal_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain IN_internal_allow (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:631 ctstate NEW
2     3064  732K ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251          udp dpt:5353 ctstate NEW
3     384K   30M ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:137 ctstate NEW
4    14777 3318K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:138 ctstate NEW
5        7   364 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
6        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10001 ctstate NEW
7     217K   11M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3128 ctstate NEW
8       66  3432 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 ctstate NEW
9        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW mark match 0x64

Chain IN_internal_deny (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IN_internal_log (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT_direct (1 references)
num   pkts bytes target     prot opt in     out     source               destination

centos, iptables, squid

henri_barbusse
(21.07.16 02:55:56 MSK)

1 комментарий

RSS подписка на новые темы