automatischer HardReboot wenn Firewall gestartet wurde

[KLPsAUGER]

Hi @ all !!!

Wenn ich meine Firewall in der Konsole starte dann macht mein Server nach einer Weile automatisch einen HardReboot. Ich verstehe nur nicht warum. Wenn ich jedoch die Firewall auslasse, dann rennt der Server durch ohne Probleme.

Hier mal meine Firewall config...


Meine IP - Adresse(n) und Ports haben ich mit "X" unkenntlich gemacht.



Hier noch ein paar Sachen aus dem SYSLOG...

Jun 28 22:17:01 ns310577 /USR/SBIN/CRON[12946]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Jun 28 22:35:30 ns310577 kernel: [24672.668552] ip_tables: (C) 2000-2006 Netfilter Core Team
Jun 28 22:35:30 ns310577 kernel: [24672.731136] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)

Jun 28 23:15:17 ns310577 kernel: [27053.030564] e1000e: eth0 NIC Link is Down
Jun 28 23:15:19 ns310577 kernel: [27054.777231] e1000e: eth0 NIC Link is Up 100 Mbps Full Duplex, Flow Control: None
Jun 28 23:15:19 ns310577 kernel: [27054.777237] e1000e 0000:00:19.0: eth0: 10/100 speed: disabling TSO

iptables - L spuckt folgendes aus...

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Ich hoffe es kann mir jemand weiterhelfen und das Problem finden / lösen...



mfg,
KLPsAUGER

[Six]

Hi @ all !!!

iptables - L spuckt folgendes aus...

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

An den Firewall-Regeln liegt es offenbar nicht. Da sind keine aktiv.

[eggy]

"Da sind keine aktiv." - könnte daran liegen:

##### In den ersten 5 Minuten nach einem reboot ist die firewall unstartbar.
[ $(cat /proc/uptime | tr "." " " | awk '{print $1}') -lt 300 ] && exit

Wann hast Du das iptables -L gemacht?

[KLPsAUGER]

"Da sind keine aktiv." - könnte daran liegen:

##### In den ersten 5 Minuten nach einem reboot ist die firewall unstartbar.
[ $(cat /proc/uptime | tr "." " " | awk '{print $1}') -lt 300 ] && exit

Wann hast Du das iptables -L gemacht?

Bevor ich die Firewall gestartet habe...


Hier noch meine /etc/network/interfaces...

Code: Alles auswählen

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

mfg,
KLPsAUGER

[Lord_Carlos]

Ich kenne mich leider mit IPtables nicht aus. Aber koenntest du vielleicht dein Script bis auf das Grundgeruest ausziehen, dann testen und wenn es funktioniert langsam wieder funktionen hinzufuegen? So kannst du selber herausfinden wodran es liegt.

[eggy]

Ich würd mal so vorgehen:
Booten - 5 min warten - Firewall anwerfen
falls die Kiste anbleibt: Iptables Regeln loggen und zusammen mit dmesg output hier posten
falls die Kiste ausgeht: Script irgendwo hin kopieren, auf der Kopie: die Startregeln (170 ff) auskommenieren, den Blödsinn mit den 5 min rausnehmen und dann Zeile für Zeile die Startregeln wieder reinnehmen und jeweils einzeln durchtesten, ob es daran liegt. (Ja, wahrscheinlich kann man es mit "drübersehen" auch rausfinden, aber warum da was in 178ff gemacht wird, das bereits in 59ff steht, erschließt sich mir nicht - ich denke dem Regelschreiber auch nicht -- poste mal die Ausgabe von dem "iptables --list -nv" und "iptables-save" , dann lässt sich das einfacher debuggen (falls es überhaupt daran liegt))

[KLPsAUGER]

Ich glaube den Fehler gefunden zu haben.

Seit ich das Monitoring von meinem RootServer - Anbieter deaktiviert habe, läuft der Server inkl. meinem Firewall - Script und macht keinen Hard - Reboot.


mfg,
KLPsAUGER

[eggy]

Freut mich. Ich würde an Deiner Stelle, aber trotzdem mal wissen wollen, welche Regeln da wirklich zusammengebastelt werden, so richtig 100% sinnvoll kommt mir das (bei oberflächlichem Blick) nämlich nicht vor.

[Cae]

Seit ich das Monitoring von meinem RootServer - Anbieter deaktiviert habe, läuft der Server inkl. meinem Firewall - Script und macht keinen Hard - Reboot.

Naja, das wird wohl mehr als "Monitoring" gewesen sein, sondern eher ein Watchdog. Da deine tolle Firewall Pings sperrt:

Code: Alles auswählen

-P INPUT DROP
# was irgendwann danach fehlt:
-A INPUT -p icmp -m state --state NEW -m icmp --icmp-type echo-request -j ACCEPT

haelt das "Monitoring" die Kiste fuer tot und zieht den Stecker.

Ausserdem ist das Ding eine krude Mischung aus state-ful und unbegruendeten (Kommentar fehlt) viel zu weitreichenden statischen Ausnahmen.

Gruss Cae