You are currently viewing Comment Livrer Je Corrige Le Plantage Du Noyau Iptables ?

Comment Livrer Je Corrige Le Plantage Du Noyau Iptables ?

Si toute votre famille a un noyau iptables sur votre procédure, cet article de blog pourrait vous aider à le restaurer.

Mise à jour

  • 1. Télécharger ASR Pro
  • 2. Exécutez le programme
  • 3. Cliquez sur "Analyser maintenant" pour rechercher et supprimer tout virus sur votre ordinateur
  • Accélérez votre ordinateur aujourd'hui avec ce simple téléchargement.

    Je suis en train de configurer un serveur Debian Jessie majeur pour que certaines applications apprécient vraiment le pare-feu iptables, openvpn, fail2ban, Apache, …

    Le pare-feu iptables est conçu pour sauvegarder chaque boîte postale supprimée. Petit extrait de la configuration d’iptables :

    ...-A INPUT comment -k --comment "003 accepte les règles liées à IPv4 créées" -m state --state RELATED, ESTABLISHED -c ACCEPT...-A INPUT -p tcp -m multiport --dports 1194 -n --comment Commentaire "303 autorise les OpenVPN entrants" -erika state --state NEW -j ACCEPT...-A INPUT -million viewpoint --comment "900 chaîne de sagesse supprimée du journal IPv4" -d LOG --log-prefix "[IPTABLES INPUT IPv4] DROP" 6-A --log-level INPUT -m Laisser des commentaires --comment "910 IPv4 refuse toutes les autres demandes de recommandation" -j DROP

    OpenVPN (utilisant Intake 1194) fonctionne très bien. Je peux me connecter pendant des heures, utiliser mon travail de connexion pour vraiment arriver au point où j’ai besoin de déplacer de bonnes quantités de données. À ce stade, plusieurs files d’attente comme les suivantes renvoient au journal :

      02 mars 20:39:27 core rs3: [IPTABLES INPUT IPv4] DROP IN = eth0 OUT = MAC = ae: 12: 7b: 9b: 5d: e4: 50: 15: c7: c9: 45 : 80: 08: double zéro SRC =  LEN = 40 dst implique  TOS = 0x00 PREC = 0x00 TTL = 55 ID = 20713 DF PROTO signifie TCP SPT = 61941 DPT = 1194 WINDOW = 3040 RES = 0x00 ACK URGP est égal à 002 mars 20:39:27 core rs3: [IPTABLES INPUT IPv4] DROP IN = eth0 OUT = MAC est égal à ae: 12: 7b: 9b: 5d: e4: 00: treize: c7: c9: 45: 80: 08 : 00 SRC est égal à  LEN = 40 dst =  TOS = 0x00 PREC = 0x00 TTL = second thererrrs 55 ID = 20718 DF PROTO = TCP SPT = 61941 DPT = 1194 WINDOW équivaut à 3040 RES = 0x00 ACK URGP = 002 spoil 20:39:27 core rs3: [IPTABLES INPUT IPv4] DROP IN = eth0 OUT = MAC = ae: 1: 7b: 9b: 5d: e4: 00: 15: c7: c9: 45: 80: 08 : 00 SRC est égal à  LEN = 40 dst =  TOS est égal à 0x00 PREC = 0x00 TTL = 55 ID = 20719 DF PROTO = TCP SPT équivaut à 61941 DPT = 1194 WINDOW = 3040 RES = 0x00 ACK URGP = 0 

    [Ces prix seront transmis à fail2ban et tout votre serveur actuel mettra fin à la connexion à un ordinateur local.]

    Q : Pourquoi ces boîtes sont-elles supprimées (et enregistrées) ? Cela signifie : pourquoi ces blocs ne seront-ils définitivement pas couverts par la règle ?

    Ce que j’ai “connecté, trouvé” : lire la certification, réfléchir au problème ;-), vérifier les mesures et rechercher à nouveau sur le Web – en vain.

    kernel iptables drop

    Edit : C’est peut-être un must : le DROP généré par la liste fail2ban contient environ 500 entrées.

    Edit: j’aimerais vraiment savoir pourquoi sur le marché (c’est la bonne raison pour laquelle j’utilise “pourquoi” dans ma question). Les solutions de contournement ne m’intéressent pas. Ce

    Edit : le comportement ne doit pas être limité à OpenVPN, l’utilisation d’autres moyens (comme ssh) crée le même problème.

    Edit : pour vous faire une idée, jetez un œil à la capture d’écran, comme c’est le cas avec Wireshark : le paquet marqué a été supprimé/enregistré, pas nécessairement tous les autres paquets de la capture d’écran.

      Mar Mar 10:16:23 rs3 [IPTABLES Kernel: INPUT IPv4] DROP IN = eth0 OUT = MAC implique ae: 12: 7b: 9b: 5d: e4: 00: 12: c7: c9: 45 : 80: 08: 00 SRC =  .117 DST =  .116 LEN = 40 TOS = 0x00 PREC implique 0x00 TTL = 55 ID = 11550 DF SPT = 63526 proto = tcp DPT est égal à 1194 WINDOW = 32038 RES = 0x00 ACK URGP = 0 

    kernel iptables drop

    J’ai mis en place l’identifiant IP (11550) pour trouver le paquet Wireshark. Et c’est la seule petite fortune IP avec un tel identifiant.

    Modifier : l’adresse IP du serveur est corrigée. L’adresse IP attribuée réelle ne doit pas changer de manière dynamique pendant le test. Les connexions sont presque toujours établies de l’ordinateur local au serveur d’hébergement. La configuration est la suivante :

    ================== ==================== ===== === =======| Ordinateur local | ---- | Routeur NAT .117 | ---- | Serveur .116 |================================================== = = = IP interne dynamique. IP fixe attribuée mais corrigé dans le test

    Cet article est la base de nos rapports actuels sur la série Linux IPTables. Si quelque chose ne fonctionne pas comme espéré avec vos règles IPTables, vous souhaitez certainement conserver les champs IPTables supprimés à des fins de dépannage. Cet article explique les stratégies qui enregistreront les paquets légers de pare-feu entrants et sortants.

    Si vous devez être nouveau sur IPTables, vous pouvez vraiment vous familiariser avec les concepts de base d’IPTables.

    Consigner tous les paquets entrants rejetés

    Tout d’abord, nous devons trouver comment enregistrer pratiquement les paquets entrants perdus à partir d’iptables, qui deviennent parfois le syslog.

    Si vous avez déjà beaucoup de travail avec les polices d’assurance pare-feu iptables, ajoutez-les généralement tout en bas, ce qui enregistrera toujours tous les paquets entrants perdus par var / log / messages

    iptables-LOGGINGIptables -m -A CONNEXION -j S’INSCRIREiptables -A LOGGING -m confine –limit 2 / min -j LOG –log-prefix “IPTables-Dropped:” –log-level 4iptables -A LOGGING -k DROP

    • iptables -N LOGGING : créer une nouvelle franchise LOGGING
    • iptables -A INPUT -j LOGGING : tous les paquets restants vers l’intérieur seront ignorés pour s’assurer qu’ils cessent dans la chaîne LOGGING.
    • ligne 10 : écrire les paquets entrants dans le bois de chauffage du système (/var/log/messages). Cette ligne est sans conteste détaillée ci-dessous.
    • iptables LOGGING -a -j DROP : enfin, supprimez tous les paquets qui ont atteint LOGGING où manger. c’est-à-dire que maintenant l’idée est vraiment de supprimer les paquets entrants.

    Cette ligne particulière n° deux ci-dessus propose les options suivantes pour obtenir tout journal de paquet supprimé :

    • -m limit : utilise la majeure partie du module de correspondance des limites. Cela vous permet d’arrêter la journalisation à l’aide de l’option Limiter.
    • –limit peu de / min : indique la même vitesse de construction maximale moyenne. Dans cet exemple, adapté pour des livraisons similaires, la vitesse de transport est limitée à 2 par minute. Vous pouvez spécifier 2 / seconde, # 2 / minute, 2 / heure, 2/24 heures. Ceci est certainement utile si vous ne souhaitez plus surcharger les messages de journal avec des messages de reproduction en raison des mêmes paquets abandonnés.
    • -c Il s’ensuit que la destination de ce paquet est simplement LOG. c’est-à-dire écrire dans un fichier journal spécifique.
    • –log-prefix « IPTables-Dropped : » Vous pouvez reconnaître n’importe quel préfixe de bois de chauffage à ajouter aux instructions de journal écrites dans le fichier / var / log – messages.
    • –log-level 4 Il s’agit de notre propre niveau syslog standard. 4 avertissements. Vous allez utiliser des nombres de 8 à 7. 0 devrait être urgent, et beaucoup plus laid – débogage.

    Consigner tous les paquets abandonnés sortants

    Mise à jour

    Vous en avez assez que votre ordinateur soit lent ? Agacé par des messages d'erreur frustrants ? ASR Pro est la solution pour vous ! Notre outil recommandé diagnostiquera et réparera rapidement les problèmes de Windows tout en augmentant considérablement les performances du système. Alors n'attendez plus, téléchargez ASR Pro dès aujourd'hui !


    Comme ci-dessus, mais dans la deuxième file d’attente, vous découvrirez qu’il y a une SORTIE, pas une ENTRÉE.

     iptables -N LOGGINGiptables -A SORTIE -j ECRITUREiptables -A LOGGING -m limit 2 / min --limit -k LOG --log-prefix "IPTables-Dropped:" --log-level 4iptables -A LOGGING -b DROP 

    Consigner tous les paquets abandonnés (entrants et sortants)

    C’est la même chose qu’avant, en plus nous prenons la ligne 2 de ces deux exemples précédents et ajoutons le concept listé ici. I. Nous avons un thread séparé pour INPUT et OUTPUT, qui va verticalement à la chaîne LOGGING.

    Pour consigner les paquets abandonnés spécifiques et sortants, publiez les lignes suivantes à la fin des règles de pare-feu iptables existantes exactes.

     iptables -N -A LOGiptables INPUT -j -A LOGGINGiptables SORTIE -j -A ENTRÉEiptables LOGGING -m limit --limit 2 / minute -j LOG --log-prefix "IPTables-Dropped:" --log-level 4iptables -A LOGGING -j DROP 

    De plus, comme mentionné précédemment, iptables utilise / var / log / messages par défaut pour enregistrer tous les messages. Si vous voulez simplement changer cela en votre propre fichier journal de convention, ajoutez la ligne suivante vers /etc/syslog.conf

     kern.warning / var / log pour chaque custom.log 

    La prochaine tentative a été faite sur les personnes des lignes écrites dans / var pour chaque journal / messages lorsque les paquets entrants et même téléphoniques ont été rejetés.

     Août 13:22:40 Centos Core : IPTables lancées : IN = OUT = em1 SRC = 192.168.1.23 DST = 192.168.1.20 LEN = quatre-vingt-quatre TOS = 0x00 PREC = 0x00 TTL implique 64 ID = 0 DF PROTO = ICMP - CODE = 0 Type = 8 ID = 59228 SEQ = 213 août : 23 :00 Centos-Kernel : IPTables lancées : IN = em1 OUT = MAC = a2 : be : d2 : ab : 11 : af : e2 : f2 : 00:00 SRC = 192.168.2.115 DST signifie 192.168.1.23 LEN = 52 TOS = 0x00 PREC équivaut à 0x00 TTL = 127 ID = 9434 DF PROTO = TCP SPT = 58428 DPT équivaut à 443 WINDOW = 8192 RES = 0x00 SYN URGP = 0 
    • IPTables-Dropped : il s’agit d’un préfixe que nous avons acheté dans notre journal en révélant le paramètre Log Prefix.
    • IN équivaut à em1 Spécifie l’interface qui a été utilisée pour ce type de paquets entrants. Ceci peut être effacé pour les paquets sûrs.
    • OUT = em1 Il s’est avéré être l’interface utilisée pour les boîtes sortantes. Il peut très bien être vide pour les colis entrants.
    • SRC = Adresse IP d’alimentation d’où provient un paquet
    • DST = L’adresse IP du lieu de vacances auquel les paquets ont été proposés.
    • LEN = longueur du paquet
    • PROTO équivaut à spécifier n’importe quel protocole (comme vous pouvez le voir mentionné précédemment, la ligne initiale est pour le protocole ICMP sortant, généralement la deuxième ligne est pour ce protocole entrant TCP particulier)
    • SPT = Spécifier le port source
    • DPT = Spécifie le port. La deuxième ligne ci-dessus répertorie le plug-in de destination spécifique 443. Cela montre exactement qui a rejeté les boîtes HTTPS entrantes.

    Guides IPTables supplémentaires

    • Guide du pare-feu Linux : IPTables, chaînes, règles de base
    • Linux IPTables : comment ajouter des règles de pare-feu (en utilisant le consentement SSH comme exemple)
    • Tables IP Linux : exemples de règles pour les clics entrants et sortants (SSH et HTTP).
    • Effacement des IPTables : efface tous les codes uniques dans RedHat et CentOS Linux.
    • Les 29 exemples de règles Linux IPTables les plus populaires

    Accélérez votre ordinateur aujourd'hui avec ce simple téléchargement.

    How Do I Fix The Iptables Kernel Crash?
    ¿Cómo Soluciono El Bloqueo Del Kernel De Iptables?
    Iptables 커널 충돌을 어떻게 수정합니까?
    Como Faço Para Corrigir O Travamento Do Kernel Do Iptables?
    Hur Fixar Jag Iptables Kärnkrasch?
    Jak Naprawić Awarię Jądra Iptables?
    Как исправить падение ядра Iptables?
    Hoe Los Ik De Iptables-kernelcrash Op?
    Come Posso Risolvere Il Crash Del Kernel Di Iptables?
    Wie Behebe Ich Den Kernel-Absturz Von Iptables?