Автор Тема: Iptables - iptables-restore: line 36 failed  (Прочетена 6005 пъти)

sianbg

  • Напреднали
  • *****
  • Публикации: 24
    • Профил
Iptables - iptables-restore: line 36 failed
« -: Nov 24, 2013, 14:03 »
Здравейте. Взех един код от тук https://wiki.debian.org/iptables . Добавих си моите работи и всичко тръгна без проблем. Днес ми се наложи да добавя
Код:
-A INPUT -p tcp --dport 3306 --src 87.97.174.16 -j ACCEPT
,но стана някакъв гаф, с който не мога да се оправя. Постоянно ми пише, че имам грешка на последния ред "COMMIT" където е.
Код:
iptables-restore: line 36 failed

Това ми е кода
Код:
*filter

# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A INPUT -p tcp --dport 21 --src 87.97.174.16 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp --dport 3306 --src 87.97.174.16 -j ACCEPT

# Allows SSH connections
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A INPUT -p tcp -m state --state NEW --src 87.97.174.16 --dport 22 -j ACCEPT

# Now you should read up on iptables rules and consider whether ssh access
# for everyone is really desired. Most likely you will only allow access from certain IPs.

# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT
Активен

KPETEH

  • Напреднали
  • *****
  • Публикации: 584
    • Профил
Re: Iptables - iptables-restore: line 36 failed
« Отговор #1 -: Nov 25, 2013, 09:07 »
Здравейте. Взех един код от тук https://wiki.debian.org/iptables . Добавих си моите работи и всичко тръгна без проблем. Днес ми се наложи да добавя
Код:
-A INPUT -p tcp --dport 3306 --src 87.97.174.16 -j ACCEPT
,но стана някакъв гаф, с който не мога да се оправя. Постоянно ми пише, че имам грешка на последния ред "COMMIT" където е.
Код:
iptables-restore: line 36 failed

Това ми е кода
Код:
*filter

# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A INPUT -p tcp --dport 21 --src 87.97.174.16 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp --dport 3306 --src 87.97.174.16 -j ACCEPT

# Allows SSH connections
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A INPUT -p tcp -m state --state NEW --src 87.97.174.16 --dport 22 -j ACCEPT

# Now you should read up on iptables rules and consider whether ssh access
# for everyone is really desired. Most likely you will only allow access from certain IPs.

# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT

Я дай изход от командата :
Код:
iptables -vnL
а не да показваш какво си конфигурирал, така нищо не се разбира !
Активен

Най-добрата страна на алчността е способността и да стопява коефициента на интелигентност дори на най-умния човек.

sianbg

  • Напреднали
  • *****
  • Публикации: 24
    • Профил
Re: Iptables - iptables-restore: line 36 failed
« Отговор #2 -: Nov 25, 2013, 13:20 »
Извинявам се за оскъдната информация. Значи мъча се да конфигурирам един VPS. OS е Debian 6.0. За vps се използва OpenVZ виртуализация. Отдолу седи Red Had.

Код:
Linux version 2.6.32-042stab083.2 (root@rh6-build-x64) (gcc version 4.4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Fri Nov 8 18:08:40 MSK 2013

Значи бях на VPS със HDD и си бях конфигурирал iptables. Всичко работеше. От хостинг-а ми предложиха да ме преместят на SSD за същите пари, ама малко място. Тъй като не ми трябва много пространство, а предпочитам скороста се съгласих. Преместиха ме и всичко е ОК. Наложи ми се да добавя ново правило на iptables и всичко отказа. Не съм сигурен дали от самото преместване нещо е станало или аз съм направил някаква тъпа грешка в скрипта.

iptables -vnL
Код:
root@debian:~# iptables -vnL
Chain INPUT (policy ACCEPT 3023 packets, 162K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4783 packets, 6141K bytes)
 pkts bytes target     prot opt in     out     source               destination   
Активен

mystical

  • Напреднали
  • *****
  • Публикации: 326
  • Distribution: Debian, FreeBSD
  • Window Manager: XFCE
    • Профил
    • WWW
Re: Iptables - iptables-restore: line 36 failed
« Отговор #3 -: Nov 25, 2013, 19:49 »
Предполагам, че вече си с по-нова версия на iptables-save и е променен синтаксиса. В Дебиан iptables-save записва правилата със следния синтаксис:
Код
GeSHi (Bash):
  1. # Generated by iptables-save v1.4.20 on Mon Nov 25 19:36:58 2013
  2. *filter
  3. :INPUT ACCEPT [488:104079]
  4. :FORWARD ACCEPT [0:0]
  5. :OUTPUT ACCEPT [523:76569]
  6. -A FORWARD -s 10.111.2.0/24 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "IP_STATUS: " --log-level 6
  7. COMMIT
  8. # Completed on Mon Nov 25 19:36:58 2013

Ако не искаш да имаш проблеми добави "iptables" пред правилата, за да изглеждат така:
Код
GeSHi (Bash):
  1. iptables -A INPUT -i lo -j ACCEPT
Изпълняваш ги ръчно, след което записваш:
Код
GeSHi (Bash):
  1. iptables-save > /etc/iptables.up.rules

Код
GeSHi (Bash):
  1. cat /etc/iptables.up.rules
  2. # Generated by iptables-save v1.4.20 on Mon Nov 25 19:45:45 2013
  3. *filter
  4. :INPUT ACCEPT [71:11704]
  5. :FORWARD ACCEPT [0:0]
  6. :OUTPUT ACCEPT [83:19079]
  7. -A INPUT -i lo -j ACCEPT
  8. -A FORWARD -s 10.111.2.0/24 -m limit --limit 1/sec --limit-burst 1 -j LOG --log-prefix "IP_STATUS: " --log-level 6
  9. COMMIT
  10. # Completed on Mon Nov 25 19:45:45 2013
Активен

Ако не можеш да градиш, поне не руши!

KPETEH

  • Напреднали
  • *****
  • Публикации: 584
    • Профил
Re: Iptables - iptables-restore: line 36 failed
« Отговор #4 -: Nov 26, 2013, 10:33 »
А аз пък не разбрах това което си дал като изход от vps-a ли е ?

Код:
ptables -vnL
Код:
root@debian:~# iptables -vnL
Chain INPUT (policy ACCEPT 3023 packets, 162K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4783 packets, 6141K bytes)
 pkts bytes target     prot opt in     out     source               destination

Защото, ако е така и наистина е redhat то тогава правилата, които трябва да напишеш се съдържат
в /etc/sysconfig/iptables и синтаксиса на изписване на правилата е различен.
Активен

Най-добрата страна на алчността е способността и да стопява коефициента на интелигентност дори на най-умния човек.

petar258

  • Напреднали
  • *****
  • Публикации: 399
  • Distribution: Ubuntu-mate 16.04, Windows 7
    • Профил
Re: Iptables - iptables-restore: line 36 failed
« Отговор #5 -: Nov 26, 2013, 13:04 »
Махни празните редове, и действай с линукски редактор. Виж нещо дето работи как изглежда:

# Generated by iptables-save v1.4.8 on Fri Feb 10 07:25:34 2012
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Fri Feb 10 07:25:34 2012
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -o eth1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Generated by iptables-save v1.4.8 on Fri Feb 10 07:25:34 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
:udp-flood - [0:0]
##:SSH_WHITELIST - [0:0]
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 9 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
#-A SSH_WHITELIST -s TRUSTED_HOST_IP -m recent --remove --name SSH -j ACCEPT
##-A INPUT -p tcp --dport 2222 -m state --state NEW -m recent --set --name SSH
##-A INPUT -p tcp --dport 2222 -m state --state NEW -j SSH_WHITELIST
##-A INPUT -p tcp --dport 2222 -m state --state NEW -m recent --update --seconds 10 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
##-A INPUT -p tcp --dport 2222 -m state --state NEW -m recent --update --seconds 10 --hitcount 3 --rttl --name SSH -j DROP
-A INPUT -p udp -m udp --dport 68 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 3/s -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 13 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
##-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 3000:3001 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 4129 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 8887 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 29999 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 30000 -j ACCEPT
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m pkttype --pkt-type multicast -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -i eth1 -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -i eth1 -p udp -j udp-flood
-A INPUT -i eth1 -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth1 -p icmp -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -p tcp ! --syn -m state --state NEW -j DROP
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -p tcp --syn -j syn-flood
-A FORWARD -i eth1 -p udp -j udp-flood
-A OUTPUT -m state --state INVALID -j DROP
-A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
-A syn-flood -j DROP
-A udp-flood -m limit --limit 3/s -j RETURN
-A udp-flood -j DROP
COMMIT
# Completed on Fri Feb 10 07:25:34 2012


а при теб май това дето си писал има грешка
-A INPUT -p tcp --dport 3306 --src 87.97.174.16 -j ACCEPT  трябва да е
-A INPUT -p tcp --dport 3306 -s 87.97.174.16 -j ACCEPT  или
-A INPUT -p tcp --dport 3306 --source 87.97.174.16 -j ACCEPT

и виж над него пак имаш същата грешка
« Последна редакция: Nov 26, 2013, 13:17 от petar258 »
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
iptables
Настройка на програми
sunhater 3 3555 Последна публикация Apr 23, 2003, 15:02
от sunhater
iptables
Настройка на програми
dumdum 4 4138 Последна публикация Apr 30, 2003, 10:40
от dumdum
IPTABLES
Настройка на програми
achird 2 4240 Последна публикация May 20, 2003, 14:14
от achird
iptables
Настройка на програми
dumdum 2 3279 Последна публикация May 03, 2003, 17:00
от
iptables
Настройка на програми
ivanatora 16 9635 Последна публикация May 25, 2003, 11:34
от mtab