You are currently viewing ¿Cómo Soluciono El Bloqueo Del Kernel De Iptables?

¿Cómo Soluciono El Bloqueo Del Kernel De Iptables?

Si viene con un kernel de iptables en su sistema, esta publicación podría ayudarlo a solucionarlo.

Actualizado

  • 1. Descargar ASR Pro
  • 2. Ejecute el programa
  • 3. Haga clic en "Escanear ahora" para encontrar y eliminar cualquier virus en su computadora
  • Acelera tu computadora hoy con esta simple descarga.

    Estoy configurando un servidor Debian Jessie para algunas aplicaciones como iptables Firewall, openvpn, fail2ban, Apache, …

    El cortafuegos de iptables está diseñado para guardar todos los buzones caídos. Pequeña cantidad menor de configuración de iptables:

    …-Una ENTRADA proporciona retroalimentación -k –comenta “003 acepta las reglas establecidas relacionadas con IPv4” -m estado –estado RELACIONADO, ESTABLECIDO -j ACEPTAR…-A INPUT -p tcp -m multipuerto –dports 1194 -n –remark Comentario “303 permitir OpenVPN entrante” -estado erika –forma NUEVO -j ACEPTAR…-A INPUT -million de comentarios –comentario “900 IPv4 log descartó la cadena de sabiduría” -j LOG –log-prefix “[IPTABLES INPUT IPv4] DROP” 6-A – ENTRADA de nivel de registro – metros Dejar comentarios – comentar “910 IPv4 rechaza todas las diferentes solicitudes de recomendación” -j DROP

    OpenVPN (usando Intake 1194) funciona bien. Puedo iniciar sesión con respecto a las horas, usar mi trabajo de inicio de sesión para el problema en el que necesito mover grandes cantidades de datos. En este punto, varias líneas como las siguientes se refieren al registro:

      10 Mar 20:39:27 core rs3: [IPTABLES INPUT IPv4] DROP IN = eth0 OUT = MAC es igual a ae: 12: 7b: 9b: 5d: e4: 00: 15: c7: c9 : 45: 80: 08: 00 SRC es igual a  LEN = 40 dst =  TOS = 0x00 PREC = 0x00 TTL = 50 ID = 20713 DF PROTO = TCP SPT = 61941 DPT = 1194 WINDOW implica 3040 RES = 0x00 ACK URGP = 002 Mar 20:39:27 core rs3: [ENTRADA IPTABLES IPv4] DROP IN = eth0 OUT = MAC = ae: 20: 7b: 9b: 5d: e4: 00: 15: c7: c9: 45: 80: 08: 00 SRC =  LEN = 40 dst =  TOS equivale a 0x00 PREC = 0x00 TTL = 55 ID es igual a 20718 DF PROTO = TCP SPT es igual a 61941 DPT = 1194 WINDOW = 3040 RES es igual a 0x00 ACK URGP = 002 mar 20:39:27 rs3 central: [ENTRADA DE IPTABLES IPv4] DROP IN es igual a eth0 OUT = MAC = ae: 12: 7b: 9b: 5d: e4: 00: 15: c7: c9: 45: 85: 08: 00 SRC =  LEN implica 40 dst =  TOS = 0x00 PREC = 0x00 TTL = 55 ID equivale a 20719 DF PROTO = TCP SPT = 61941 DPT = 1194 WINDOW = 3040 RES es igual a 0x00 ACK URGP = 0 

    [Estas entradas ciertamente se pasarán a fail2ban y su sistema actual terminará la conexión a mi computadora nacional.]

    P: ¿Por qué se obtienen (y se registran) estos paquetes? Esto significa: ¿por qué estos obstáculos no están cubiertos por la regla?

    Lo que “inicié sesión, encontré”: leí la documentación, creo que eso es sobre el problema ;-), verifique las reglas y busque en la web nuevamente, sin éxito.

    kernel iptables drop

    Editar: Quizás esto sea imprescindible: la lista DROP gana por fail2ban contiene alrededor de 500 artículos.

    Editar: Realmente me gustaría saber las razones (esta es la razón correcta por la que estoy usando “por qué” en mi pregunta). Las soluciones provisionales no me persiguen. Esto

    Editar: el comportamiento no debería limitarse a OpenVPN, el uso de otros métodos (como ssh) produce el mismo problema.

    Editar: para comprar una idea, eche un vistazo a la captura de pantalla, como es el caso de Wireshark: el paquete simple se eliminó / guardó, no todos los paquetes en la captura de pantalla.

      Tue Mar 10:16:23 rs3 [IPTABLES Kernel: INPUT IPv4] DROP IN = eth0 OUT = MAC = ae: 12th: 7b: 9b: 5d: e4: 00: 15: c7: c9: 47 : 80: 08: 00 SRC equivale a  .117 DST =  .116 LEN = cuarenta TOS = 0x00 PREC = 0x00 TTL es igual a 55 ID = 11550 DF SPT es igual a 63526 proto = tcp DPT = 1194 VENTANA significa 32038 RES = 0x00 ACK URGP es igual a 0 

    kernel iptables drop

    Usé el ID de IP (11550) para encontrar el paquete Wireshark. Y este es el único paquete IP con un identificador de tipo.

    Editar: la IP del servidor es precisa. La dirección IP asignada real no se modificó dinámicamente durante la prueba. Las conexiones se realizan directamente desde la computadora local al servidor. El diseño es el siguiente:

      ================== ==================== ===== === =======| Computadora local | ---- | Enrutador NAT .117 | ---- | Servidor .116 |================================================ es igual a = =   IP privada dinámica. IP fija asignada                       sin embargo, fijo en prueba 

    Este artículo es la piedra angular de estos informes actuales sobre la serie Linux IPTables. Si algo no funciona como se esperaba con las nuevas reglas de IPTables, probablemente elija mantener los campos de IPTables eliminados para la resolución de problemas. Este artículo explica las políticas que registran los paquetes ligeros de firewall entrantes y salientes.

    Si no hay duda de que es nuevo en IPTables, puede familiarizarse primero con los conceptos básicos de IPTables.

    Registrar todos los paquetes entrantes rechazados

    En primer lugar, casi todos necesitan averiguar cómo prácticamente cargar los paquetes entrantes perdidos de iptables, que se convierten en parte del syslog.

    Si ya tiene un concesionario de trabajo con reglas de firewall de iptables, generalmente colóquelas al mínimo, lo que archivará todos los paquetes entrantes perdidos en / var para cada registro / mensaje

     iptables-LOGGINGIptables -n -A INICIAR SESIÓN -j REGISTROiptables -A LOGGING -m limit --limit multiple / min -j LOG --log-prefix "IPTables-Dropped:" --log-level 4iptables -A LOGGING -k DROP 
    • iptables -N LOGGING: crea una nueva cadena de LOGGING
    • iptables -A INPUT -j LOGGING: Cualquier paquete entrante restante tiende a ser saltado para asegurar que terminen al final de la cadena LOGGING.
    • línea 3: escribe ciertos paquetes en el registro del sistema (/ var log / messages). Esta línea se detalla sigue leyendo.
    • iptables LOGGING -a -j DROP: Finalmente, elimine todos los paquetes que hayan alcanzado las cadenas de LOGGING. es decir, ahora la idea es eliminar los paquetes entrantes.

    Esta línea en particular # 3 anterior posee las siguientes opciones para obtener el registro de contenedor caído:

    • -m limit: utiliza el módulo de creación de coincidencias de límites. Esto le permite restringir el registro generando la opción Límite.
    • –limit 2 / minute: indica la misma velocidad de escritura máxima promedio. En este ejemplo, adaptado para paquetes similares, la velocidad de entrega programada está limitada a 2 por minuto. Puede especificar 2 / segundo, 2 / fino, 2 / hora, 2 / día. Esto es ciertamente útil si no desea sobrecargar los mensajes de registro con mensajes duplicados desde los mismos paquetes descartados.
    • -j Observará que el destino de este paquete es simplemente LOG. es decir, escriba en el archivo de registro.
    • –log-prefix “IPTables-Dropped:” Puede especificar cualquier prefijo de registro para agregarlo a los mensajes de registro escritos para poder guardarlos en el archivo / var / log / messages manualmente.
    • –log-level 4 Este es nuestro propio nivel de syslog frecuente. 4 advertencias. Puede usar datos del 8 al 7. 0 es urgencia y, además, mucho más: depuración.

    Registrar todos los paquetes descartados salientes

    Actualizado

    ¿Estás cansado de que tu computadora funcione lentamente? ¿Le molestan los frustrantes mensajes de error? ¡ASR Pro es la solución para ti! Nuestra herramienta recomendada diagnosticará y reparará rápidamente los problemas de Windows mientras aumenta drásticamente el rendimiento del sistema. Así que no esperes más, ¡descarga ASR Pro hoy!


    Igual que aquí, pero en la segunda cola de abajo hay una SALIDA, no una ENTRADA.

     iptables -N REGISTROiptables -A SALIDA -j ESCRIBIRiptables -A LOGGING -n límite 2 / min --limit -j LOG --log-prefix "IPTables-Dropped:" --log-level 4iptables -A LOGGING -m DROP 

    Registrar todos los paquetes descartados (entrantes y salientes)

    Esto es lo mismo que antes, además, tomamos la línea 2 de un par de ejemplos anteriores y agregamos el concepto aquí. I. Tenemos un hilo separado para INPUT y OUTPUT, que va verticalmente a la cadena LOGGING.

    Para paquetes descartados salientes y específicos de leña, agregue las líneas apropiadas al final de las reglas de firewall de iptables vivas.

     iptables -N -A LOGiptables ENTRADA -j -A REGISTROiptables SALIDA -j -A ENTRADAiptables LOGGING -m limit --limit 2 / min -j LOG --log-prefix "IPTables-Dropped:" --log-level 4iptables -A LOGGING -j DROP 

    Además, como se mencionó anteriormente, iptables usa var / log / messages por defecto para que usted registre todos los mensajes. Si realmente desea cambiar esto a su propio informe de registro personalizado, agregue la siguiente línea a /etc/syslog.conf

     kern.warning por var / log / custom.log 

    El siguiente intento se realizó en una de nuestras líneas escritas en / var / log por mensaje cuando descarté paquetes entrantes e incluso salientes.

     Agosto 13:22:40 Centos Core: IPTables alojadas: IN = OUT = em1 SRC implica 192.168.1.23 DST = 192.168.1.20 LEN = 84 TOS implica 0x00 PREC = 0x00 TTL = 64 ID = 0 DF PROTO = ICMP - CODE = 0 Tipo = 8 ID implica 59228 SEQ = 213 de agosto: 23:00 Centos-Kernel: IPTables done: IN = em1 OUT = MAC implica a2: be: d2: ab: 11: af: e2: f2: 00:00 SRC = 192.168.2.115 DST = 192.168.1.23 LEN es igual a 52 TOS = 0x00 PREC = 0x00 TTL = 127 ID = 9434 DF PROTO equivale a TCP SPT = 58428 DPT = 443 VENTANA = 8192 RES = 0x00 SYN URGP implica 0 
    • IPTables-Dropped: Este es el prefijo que compramos hoy de nuestro registro al especificar el parámetro Prefijo de registro.
    • IN = em1 Especifica toda la interfaz que se utilizó para estos buzones entrantes. Esto se puede borrar para paquetes salientes.
    • OUT = em1 Resultó ser la interfaz utilizada para los paquetes salientes. Estará bien vacío para los paquetes entrantes.
    • SRC = dirección IP de potencia desde donde el paquete llegó al mercado
    • DST = La respuesta IP de destino a la que se ofrecieron los paquetes.
    • LEN = longitud del paquete
    • PROTO = Especifique cada protocolo (como puede ver arriba, la línea más importante es para el protocolo ICMP saliente, en todo momento la segunda línea es para el protocolo TCP recién llegado)
    • SPT = Especificar puerto de origen
    • DPT = Especifica el puerto. La segunda línea superior muestra el puerto de destino específico 443. Este televisor muestra exactamente quién rechazó los paquetes HTTPS entrantes.

    Guías de IPTables adicionales

    • Guía de cortafuegos de Linux: IPTables, cadenas, reglas básicas
    • Linux IPTables: cómo poder agregar reglas de firewall (usando la autorización SSH como ejemplo real)
    • Tablas de IP de Linux: ejemplos de regulación para el tráfico entrante y saliente (SSH y HTTP).
    • Borrando IPTables: Borra todas las reglas en RedHat y CentOS Linux.
    • Los 25 ejemplos de reglas de IPTables de Linux más populares

    Acelera tu computadora hoy con esta simple descarga.

    How Do I Fix The Iptables Kernel Crash?
    Iptables 커널 충돌을 어떻게 수정합니까?
    Como Faço Para Corrigir O Travamento Do Kernel Do Iptables?
    Hur Fixar Jag Iptables Kärnkrasch?
    Comment Réparer Le Plantage Du Noyau Iptables ?
    Jak Naprawić Awarię Jądra Iptables?
    Как исправить падение ядра Iptables?
    Hoe Los Ik De Iptables-kernelcrash Op?
    Come Posso Risolvere Il Crash Del Kernel Di Iptables?
    Wie Behebe Ich Den Kernel-Absturz Von Iptables?