День добрый. Помогите разобраться в работе firewall от FreePBX 13. В вебинтерфейсе файрвол включен, прописаны сети, зоны..., настройки сохранены, на всяк случай перегружен сервер. Смотрим iptables -L :
Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-... (неск. строк о банах сокращаю) fpbxfirewall all -- anywhere anywhere
Chain fpbxfirewall (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ....
Т.е. в первой строке блока fpbxfirewall имеем правило "принять все" (файрвол попросту отключен). Убираю ручками iptables -D fpbxfirewall 1 service iptables save service iptable restart -все OK, но после ребута или вкл-выкл файрвола из вебморды, снова втыкается первой строкой: ACCEPT all -- anywhere anywhere
Кто-нибудь может рассказать как его запустить заразу, чтобы сие правило больше не втыкалось само, т.е. чтоб файрвол заработал ФАКТИЧЕСКИ, а не по картинкам в вебморде?
PS Дистрибутив свежий 32 битный, все модули проапгрейдены.
Надо было смотреть полную инфу : iptables -L -v , тогда показывает, что эта злосчастная строка работает только для интерфейса local. Всем спасибо.
Задан: 2017-12-27 15:15:16 +0400
Просмотрен: 1,367 раз
Обновлен: Jan 12 '18
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
там работает fail2ban, он контроллирует все.
Out ( 2017-12-27 15:36:15 +0400 )редактироватьЕсли так, то при отключении fail2ban (Responsive Firewall в вебморде) - правило "принять все" в цепочке fpbxfirewall должно убраться из первой строки по логике ? Ан нет не убирается :
Chain INPUT (policy ACCEPT) target prot opt source destination fpbxfirewall all -- anywhere anywhere
Chain fpbxfirewall (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ...
ahar ( 2017-12-28 07:45:04 +0400 )редактироватьперевод строки почему то не работает здесь при выводе текста, потому строки сливаются, сорри
ahar ( 2017-12-28 07:47:11 +0400 )редактироватьпопробуйте с неправильным паролем подключиться, результат возможно вас удивит.
Out ( 2017-12-28 10:56:49 +0400 )редактироватьнеправильные пароли переваривает по счетчикам fail2ban, меня же интересует фильтрация сетей, не совсем понял что меня удивит и в каком режиме (вкл-выкл fail2ban)?
ahar ( 2017-12-28 11:28:18 +0400 )редактироватьтам по умолчанию выводится БОЛЬШОЕ такое окно, в котором написано гдето следующее "проверьте, что вы правильно настроили фаервол по ссылке хххх, он будет включен через 15 минут".
фаервол контролируется через веб интерфейс. НЕ НАДО туда лезьт руками, результат НЕПРЕДСКАЗУЕМ.
meral ( 2017-12-28 12:29:58 +0400 )редактироватьПро 15 минут не слышал, ждал 5-10 минут на всякий случай для выхода из safe mode (а вдруг думал в сем режиме).Спасибо, сейчас переустановлю все с нуля, включу файрвол и до завтра не трону, завтра проверю, отпишусь.
ahar ( 2017-12-28 15:45:17 +0400 )редактироватьПереустановил все с нуля , при первичном прогоне мастера в вебмордефайвол включил, fail2ban не включал. После прошедшей ночи картинка по "iptable -L" старая: Chain INPUT (policy ACCEPT) target prot opt source destination fpbxfirewall all -- anywhere anywhere
Chain fpbxfirewall (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED ...
ahar ( 2017-12-29 10:28:22 +0400 )редактироватьтам еще чтто про настройку портов было. для ssh. я хз, я давно ее не ставил, у меня все на удаленных серверах. Но точно помню, что включает фаервол отложено.
meral ( 2017-12-29 14:12:52 +0400 )редактировать