Seite 1 von 1

automatischer HardReboot wenn Firewall gestartet wurde

Verfasst: 01.07.2015 12:14:14
von KLPsAUGER
Hi @ all !!!

Wenn ich meine Firewall in der Konsole starte dann macht mein Server nach einer Weile automatisch einen HardReboot. Ich verstehe nur nicht warum. Wenn ich jedoch die Firewall auslasse, dann rennt der Server durch ohne Probleme.

Hier mal meine Firewall config...


Meine IP - Adresse(n) und Ports haben ich mit "X" unkenntlich gemacht.



Hier noch ein paar Sachen aus dem SYSLOG...
Jun 28 22:17:01 ns310577 /USR/SBIN/CRON[12946]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Jun 28 22:35:30 ns310577 kernel: [24672.668552] ip_tables: (C) 2000-2006 Netfilter Core Team
Jun 28 22:35:30 ns310577 kernel: [24672.731136] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
Jun 28 23:15:17 ns310577 kernel: [27053.030564] e1000e: eth0 NIC Link is Down
Jun 28 23:15:19 ns310577 kernel: [27054.777231] e1000e: eth0 NIC Link is Up 100 Mbps Full Duplex, Flow Control: None
Jun 28 23:15:19 ns310577 kernel: [27054.777237] e1000e 0000:00:19.0: eth0: 10/100 speed: disabling TSO



iptables - L spuckt folgendes aus...
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Ich hoffe es kann mir jemand weiterhelfen und das Problem finden / lösen...



mfg,
KLPsAUGER

Re: automatischer HardReboot wenn Firewall gestartet wurde

Verfasst: 02.07.2015 07:26:50
von Six
KLPsAUGER hat geschrieben:Hi @ all !!!

iptables - L spuckt folgendes aus...
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
An den Firewall-Regeln liegt es offenbar nicht. Da sind keine aktiv.

Re: automatischer HardReboot wenn Firewall gestartet wurde

Verfasst: 02.07.2015 09:14:50
von eggy
"Da sind keine aktiv." - könnte daran liegen:
##### In den ersten 5 Minuten nach einem reboot ist die firewall unstartbar.
[ $(cat /proc/uptime | tr "." " " | awk '{print $1}') -lt 300 ] && exit
Wann hast Du das iptables -L gemacht?

Re: automatischer HardReboot wenn Firewall gestartet wurde

Verfasst: 03.07.2015 08:16:13
von KLPsAUGER
eggy hat geschrieben:"Da sind keine aktiv." - könnte daran liegen:
##### In den ersten 5 Minuten nach einem reboot ist die firewall unstartbar.
[ $(cat /proc/uptime | tr "." " " | awk '{print $1}') -lt 300 ] && exit
Wann hast Du das iptables -L gemacht?
Bevor ich die Firewall gestartet habe...


Hier noch meine /etc/network/interfaces...

Code: Alles auswählen

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback


mfg,
KLPsAUGER

Re: automatischer HardReboot wenn Firewall gestartet wurde

Verfasst: 03.07.2015 10:04:50
von Lord_Carlos
Ich kenne mich leider mit IPtables nicht aus. Aber koenntest du vielleicht dein Script bis auf das Grundgeruest ausziehen, dann testen und wenn es funktioniert langsam wieder funktionen hinzufuegen? So kannst du selber herausfinden wodran es liegt.

Re: automatischer HardReboot wenn Firewall gestartet wurde

Verfasst: 03.07.2015 10:21:29
von eggy
Ich würd mal so vorgehen:
Booten - 5 min warten - Firewall anwerfen
falls die Kiste anbleibt: Iptables Regeln loggen und zusammen mit dmesg output hier posten
falls die Kiste ausgeht: Script irgendwo hin kopieren, auf der Kopie: die Startregeln (170 ff) auskommenieren, den Blödsinn mit den 5 min rausnehmen und dann Zeile für Zeile die Startregeln wieder reinnehmen und jeweils einzeln durchtesten, ob es daran liegt. (Ja, wahrscheinlich kann man es mit "drübersehen" auch rausfinden, aber warum da was in 178ff gemacht wird, das bereits in 59ff steht, erschließt sich mir nicht - ich denke dem Regelschreiber auch nicht -- poste mal die Ausgabe von dem "iptables --list -nv" und "iptables-save" , dann lässt sich das einfacher debuggen (falls es überhaupt daran liegt))

Re: automatischer HardReboot wenn Firewall gestartet wurde

Verfasst: 09.07.2015 08:40:17
von KLPsAUGER
Ich glaube den Fehler gefunden zu haben.

Seit ich das Monitoring von meinem RootServer - Anbieter deaktiviert habe, läuft der Server inkl. meinem Firewall - Script und macht keinen Hard - Reboot.


mfg,
KLPsAUGER

Re: automatischer HardReboot wenn Firewall gestartet wurde

Verfasst: 09.07.2015 09:11:27
von eggy
Freut mich. Ich würde an Deiner Stelle, aber trotzdem mal wissen wollen, welche Regeln da wirklich zusammengebastelt werden, so richtig 100% sinnvoll kommt mir das (bei oberflächlichem Blick) nämlich nicht vor.

Re: automatischer HardReboot wenn Firewall gestartet wurde

Verfasst: 09.07.2015 12:45:37
von Cae
KLPsAUGER hat geschrieben:Seit ich das Monitoring von meinem RootServer - Anbieter deaktiviert habe, läuft der Server inkl. meinem Firewall - Script und macht keinen Hard - Reboot.
Naja, das wird wohl mehr als "Monitoring" gewesen sein, sondern eher ein Watchdog. Da deine tolle Firewall Pings sperrt:

Code: Alles auswählen

-P INPUT DROP
# was irgendwann danach fehlt:
-A INPUT -p icmp -m state --state NEW -m icmp --icmp-type echo-request -j ACCEPT
haelt das "Monitoring" die Kiste fuer tot und zieht den Stecker.

Ausserdem ist das Ding eine krude Mischung aus state-ful und unbegruendeten (Kommentar fehlt) viel zu weitreichenden statischen Ausnahmen.

Gruss Cae