Сервер новичка пытается настроить выход в открытый космос. Я не знаю, что я делаю не так с iptables

Question

Сервер новичка пытается настроить выход в открытый космос. Я не знаю, что я делаю не так с iptables

Поэтому я пытаюсь настроить сервер spacewalk на centos 6.8, но он продолжает зависать при перезапуске служб для установки cobbler. Это будет продолжаться и продолжаться без какого-либо прогресса. Наконец, я изменил свои политики iptables для ввода и вывода, чтобы принять, и процесс установки, наконец, успешно завершен. Но я не доволен этим. Я хочу иметь возможность успешно установить spacewalk без необходимости принимать все соединения, кроме тех, которые действительно необходимы для работы spacewalk. Имейте в виду, что я новичок на серверах и на iptables в целом, поэтому прошу прощения за грязную политику:(

Это моя политика:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -p udp -m udp --dport 69 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT 
-A INPUT -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5269 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5222 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A OUTPUT -p udp -m udp --sport 69 -m state --state ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT 
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

РЕДАКТИРОВАТЬ: TLDR Мне нужно было открыть соединения для интерфейса обратной связи

Для тех, кто когда-либо сталкивался с такой же проблемой: я добавил порты, о которых мне рассказал Диоген, для сапожника. К сожалению, это не решило проблему. Согласно его второму предложению, я попытался установить с нерабочей конфигурацией iptables и использовал "netstat -aln" и сохранил его в файл. Затем я изменил политику на ACCEPT, успешно установил spacewalk и снова запустил netstat. Затем я взял два файла, сравнил их и обнаружил, что проблема в том, что 127.0.0.1 не взаимодействует должным образом. Как только я добавил интерфейс в iptables, spacewalk успешно установился с желаемой конфигурацией iptable (включая политики DROP по умолчанию).

0

centos iptables spacewalk

Источник

Shelby M. 09 апр '17 в 01:45

1 ответ

Решение

Другие вопросы по тегам centos iptables spacewalk

Diogenes deLight 09 апр '17 в 07:22 2017-04-09 07:22 · Accepted Answer · 2017-04-09 07:22

Похоже, что Cobbler требуются порты 25150 и 25151. Из Справочного руководства по Cobbler, раздел 11.1.1 (Использование проверки Cobbler):

iptables - напомнит вам, что если вы используете брандмауэр IPTables, у вас есть правила, разрешающие порты 69 (TFTP), 80 (HTTPD), 25150 и 25151 (Cobbler).
Запустите команду проверки cobbler от имени пользователя root в своей системе, чтобы увидеть, какие настройки и службы необходимо включить, чтобы правильно запустить Cobbler на загрузочном сервере.

Если ваши правила брандмауэра временно отключены, вы можете использовать netstat -aln или lsof -i для вывода списка портов, к которым подключены прослушиватели. Это может показать вам другие порты, которые должны быть открыты для служб, которые вы используете.