UFW firewall a chybějící kernel moduly

Poradna při řešení nejrůznějších problémů spojených s provozem virtuálních serverů.
Zamčeno
rwarfy
Příspěvky: 2
Registrován: stř 01. srp 2012 14:30:11

UFW firewall a chybějící kernel moduly

Příspěvek od rwarfy »

Dobrý den,

snažím se zapnout firewall, zkusil jsem UFW.
Na domacim Debianu 6.0.5 x86_64 UFW funguje.

Na serveru 4smart UFW nefunguje:

Kód: Vybrat vše

$ ufw enable
ERROR: problem running ufw-init

$ /lib/ufw/ufw-init force-reload
WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Could not load /lib/modules/2.6.18-274.7.1.el5.028stab095.1/modules.dep: No such file or directory
WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Could not load /lib/modules/2.6.18-274.7.1.el5.028stab095.1/modules.dep: No such file or directory
WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Could not load /lib/modules/2.6.18-274.7.1.el5.028stab095.1/modules.dep: No such file or directory
WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Could not load /lib/modules/2.6.18-274.7.1.el5.028stab095.1/modules.dep: No such file or directory
FATAL: Could not load /lib/modules/2.6.18-274.7.1.el5.028stab095.1/modules.dep: No such file or directory
FATAL: Could not load /lib/modules/2.6.18-274.7.1.el5.028stab095.1/modules.dep: No such file or directory
iptables-restore: line 66 failed
FATAL: Could not load /lib/modules/2.6.18-274.7.1.el5.028stab095.1/modules.dep: No such file or directory
FATAL: Could not load /lib/modules/2.6.18-274.7.1.el5.028stab095.1/modules.dep: No such file or directory
iptables-restore: line 30 failed
error: "Operation not permitted" setting key "net.ipv4.icmp_echo_ignore_broadcasts"
error: "Operation not permitted" setting key "net.ipv4.icmp_ignore_bogus_error_responses"
error: "Operation not permitted" setting key "net.ipv4.icmp_echo_ignore_all"
Adresář

Kód: Vybrat vše

/lib/modules/2.6.18-274.7.1.el5.028stab095.1
je prázdný.

Rád bych věděl jak zprovoznit nějaký firewall (budou fungovat iptables? nemám s nimi zkušenost). Zároveň bych rád věděl, jestli je na virtuálních serverech 4smart možné pracovat s kernel moduly. Předpokládám, že kernel ve VM si sám změnit nemůžu.

Konfigurace: šablona debian-6.0-x86_64, VPS 256, server 367, mám předplacený účet.

Předem díky za odpovědi.
rwarfy
Příspěvky: 2
Registrován: stř 01. srp 2012 14:30:11

Re: UFW firewall a chybějící kernel moduly

Příspěvek od rwarfy »

Nakonec jsem si vytvořil následující pravidla pomocí iptables, která fungují. Pokud máte někdo vylepšení, dejte vědět. Každý si musí sám nastavit proměnnou INTERFACE, jinak si odřízne síťové připojení (a je nutno VM restartovat přes webový interface).

Kód: Vybrat vše

INTERFACE="venet0"

# Default ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables --flush

# allow SSH
iptables -A INPUT -i ${INTERFACE}   -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ${INTERFACE}   -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# allow outbound DNS
iptables -A OUTPUT -p udp -o ${INTERFACE}   --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i ${INTERFACE}   --sport 53 -j ACCEPT

# allow loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT 

# Default DROP - by default, block everything what is not allowed
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Print out rules
iptables --list
Návod: http://www.thegeekstuff.com/2011/06/ipt ... -examples/
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: UFW firewall a chybějící kernel moduly

Příspěvek od 4smart.cz »

Dobrý den.

UFW je nádstavba zjednodušující iptables. Pokud opravdu UFW vyžaduje jaderné moduly, pak je bohužel 4smart.cz aktuálně nepodporuje.
Doporučuji proto používat iptables.

Dodám ještě, že 4smart.cz nemůže includovat všechny možné existující jaderné moduly. Pokud by tomu tak bylo, vznikl by z našich Linuxových jader na HW strojích nafouknutý a pomalý moloch, který by navíc každou chvíli padal, nebo vykazoval jiné podivné problémy.
Nemůžeme tedy po této stránce splnit veškerá Vaše přání.

J.M.
Zamčeno