Сообщений в теме: 18

[aza]

Не могу понять,почему после установки iptables не работает.

 

debian 9

 

Vesta cp:http://prntscr.com/keb9yy

 bash:systemctl status iptables
 Unit iptables.service could not be found.
 

[BombermaG]

Может быть стоит доустановить необходимый пакет?

apt install iptables-persistent

[aza]

Может быть стоит доустановить необходимый пакет?

apt install iptables-persistent

Установил,так же...

[ykpon]

В самой VestaCP открыть "Сервер" -> "Настроить" (шестеренка) -> "Плагины Vesta Control Panel" -> "Файрвол" -> "Да".

[aza]

В самой VestaCP открыть "Сервер" -> "Настроить" (шестеренка) -> "Плагины Vesta Control Panel" -> "Файрвол" -> "Да".

И там включен не хочет

[ykpon]

bash vst-install.sh --nginx yes --phpfpm yes --apache no --named no --remi no --vsftpd no --proftpd yes --iptables yes --fail2ban no --quota no --exim no --dovecot no --spamassassin no --clamav no --softaculous no --mysql yes --postgresql no --hostname HOSTNAME --email EMAIL --password 123456

Вот строка установка, которой пользовался я. iptables встал нормально.

Последние три параметра замени и поставь с нуля OS, а то мало ли что там уже пытался сделать.

[aza]

bash vst-install.sh --nginx yes --phpfpm yes --apache no --named no --remi no --vsftpd no --proftpd yes --iptables yes --fail2ban no --quota no --exim no --dovecot no --spamassassin no --clamav no --softaculous no --mysql yes --postgresql no --hostname HOSTNAME --email EMAIL --password 123456

Вот строка установка, которой пользовался я. iptables встал нормально.

Последние три параметра замени и поставь с нуля OS, а то мало ли что там уже пытался сделать.

 

А вот мой.

Ничего я не ковырял с iptables.

bash vst-install.sh --nginx yes --phpfpm yes --apache no --named no --remi yes --vsftpd no --proftpd yes --iptables yes --fail2ban yes --quota no --exim no --dovecot no --spamassassin no --clamav no --softaculous no --mysql yes --postgresql no

[ykpon]

 

А вот мой.

Ничего я не ковырял с iptables.

bash vst-install.sh --nginx yes --phpfpm yes --apache no --named no --remi yes --vsftpd no --proftpd yes --iptables yes --fail2ban yes --quota no --exim no --dovecot no --spamassassin no --clamav no --softaculous no --mysql yes --postgresql no

Чисто докопаться ради:

--remi yes - зачем? У тебя не CentOS. Убирай.

 

--fail2ban yes - зачем? Нафига он нужен. Бороться с атаками - нагрузка большая. Защищать SSH - спрячь его, на другой порт повесь, для root авторизацию по паролю убери, только по ключу оставь. Убирай, в общем.

В остальном, все ок.

У меня на debian 9 minimal нормально все встало с такой строкой. Пробуй заново. Уж вряд ли успел что-то там накатить.

Переустанавливаешь сервер, пихуешь "apt-get update; apt-get upgrade", а потом устанавливаешь весту.

[aza]

Чисто докопаться ради:

--remi yes - зачем? У тебя не CentOS. Убирай.

 

--fail2ban yes - зачем? Нафига он нужен. Бороться с атаками - нагрузка большая. Защищать SSH - спрячь его, на другой порт повесь, для root авторизацию по паролю убери, только по ключу оставь. Убирай, в общем.

В остальном, все ок.

У меня на debian 9 minimal нормально все встало с такой строкой. Пробуй заново. Уж вряд ли успел что-то там накатить.

Переустанавливаешь сервер, пихуешь "apt-get update; apt-get upgrade", а потом устанавливаешь весту.

принял,но прятать порт это не вариант.Каким нибудь nmap прослушать ip на открытые порты и усе.

Сообщение отредактировал aza: 04 Август 2018 - 17:07

[aza]

Чисто докопаться ради:

--remi yes - зачем? У тебя не CentOS. Убирай.

 

--fail2ban yes - зачем? Нафига он нужен. Бороться с атаками - нагрузка большая. Защищать SSH - спрячь его, на другой порт повесь, для root авторизацию по паролю убери, только по ключу оставь. Убирай, в общем.

В остальном, все ок.

У меня на debian 9 minimal нормально все встало с такой строкой. Пробуй заново. Уж вряд ли успел что-то там накатить.

Переустанавливаешь сервер, пихуешь "apt-get update; apt-get upgrade", а потом устанавливаешь весту.

крч,установил с нуля так же iptables не работает.

[ykpon]

принял,но прятать порт это не вариант.Каким нибудь nmap прослушать ip на открытые порты и усе.

Менять порт - это тот самый вариант, который практикуют, ну, наверное, практически везде, где не предоставляют возможность входа по SSH для всех. Да и то, даже если и предоставляют, порой, порт не по-умолчанию используется.

Порт прятать надо даже если там fail2ban стоит.

Куча серверов в мире смотрят SSH наружу и даже на стандартных портах.

Сможешь ли ты при этом что-то сделать? При условии, что там пытались препятствовать тому, кто подбирает пароль, например. Сомневаюсь.

На моей VDS смотрит наружу на 22 порту уже сколько? Года 4? Никто ни разу не подобрал никакой пароль. При этом, к слову, под рутом можно по паролю подключиться. Я даже банить не пытался никого.

 

крч,установил с нуля так же iptables не работает.

На iptables система как-то реагирует?

Сообщение отредактировал ykpon: 04 Август 2018 - 18:29

[aza]

Менять порт - это тот самый вариант, который практикуют, ну, наверное, практически везде, где не предоставляют возможность входа по SSH для всех. Да и то, даже если и предоставляют, порой, порт не по-умолчанию используется.

Порт прятать надо даже если там fail2ban стоит.

Куча серверов в мире смотрят SSH наружу и даже на стандартных портах.

Сможешь ли ты при этом что-то сделать? При условии, что там пытались препятствовать тому, кто подбирает пароль, например. Сомневаюсь.

На моей VDS смотрит наружу на 22 порту уже сколько? Года 4? Никто ни разу не подобрал никакой пароль. При этом, к слову, под рутом можно по паролю подключиться. Я даже банить не пытался никого.

 

На iptables система как-то реагирует?

вот плюет

iptables -L --line-numbers -v -n
Chain INPUT (policy ACCEPT 496 packets, 40907 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 458 packets, 60775 bytes)
num   pkts bytes target     prot opt in     out     source               destination       

[ykpon]

 

вот плюет

iptables -L --line-numbers -v -n
Chain INPUT (policy ACCEPT 496 packets, 40907 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 458 packets, 60775 bytes)
num   pkts bytes target     prot opt in     out     source               destination       

iptables работает. 

Пробуй включить его в vesta админке и, если не включится, смотри логи vesta.

[aza]

iptables работает. 

Пробуй включить его в vesta админке и, если не включится, смотри логи vesta.

Кинул логи,но там ничего интересного нема

[ykpon]

Кинул логи,но там ничего интересного нема

Вот у меня при включении/выключении фаервола в system.log:

2018-08-04 20:07:29 v-add-sys-firewall
2018-08-04 20:07:38 v-delete-sys-firewall

Покажи:

ls /usr/local/vesta/data/firewall/

cat /usr/local/vesta/conf/vesta.conf | grep FIREWALL_SYSTEM

Сообщение отредактировал ykpon: 04 Август 2018 - 20:12

[aza]

 

Вот у меня при включении/выключении фаервола в system.log:

2018-08-04 20:07:29 v-add-sys-firewall
2018-08-04 20:07:38 v-delete-sys-firewall

Покажи:

ls /usr/local/vesta/data/firewall/

cat /usr/local/vesta/conf/vesta.conf | grep FIREWALL_SYSTEM

/usr/local/vesta/data/firewall# ls   
ports.conf  rules.conf
cat /usr/local/vesta/conf/vesta.conf | grep FIREWALL_SYSTEM
FIREWALL_SYSTEM='iptables'

[ykpon]

/usr/local/vesta/data/firewall# ls   
ports.conf  rules.conf
cat /usr/local/vesta/conf/vesta.conf | grep FIREWALL_SYSTEM
FIREWALL_SYSTEM='iptables'

 

Напомни, как ты определяешь, что он не работает?

[aza]

Напомни, как ты определяешь, что он не работает?

 bash:systemctl status iptables
 Unit iptables.service could not be found.

[ykpon]

 bash:systemctl status iptables
 Unit iptables.service could not be found.

Да ничего это и не должно показывать.