CentOS / RHEL :guide de dépannage d'iptables

L'utilitaire iptables contrôle le code de filtrage des paquets réseau dans le noyau Linux. La fonctionnalité iptables est utilisée pour configurer, maintenir et inspecter les tables de règles de filtrage de paquets IP dans le noyau Linux. Le message traite des problèmes les plus fréquemment rencontrés avec iptables et de la manière de les résoudre.

les règles iptables ne se chargent pas après un redémarrage

vous avez défini et enregistré des règles de pare-feu iptables et elles ne sont toujours pas chargées après un redémarrage. Après un redémarrage, les règles iptables ne sont pas chargées, et à la place :
– Les règles du pare-feu doivent être redéfinies car les nouvelles règles n'ont pas été enregistrées/appliquées.
– Le service iptables doit être redémarré dans ordre de chargement des règles.

dépannage
1. Assurez-vous que le service est configuré pour démarrer au démarrage
1. Vérifiez que le service a été configuré pour démarrer au démarrage :

# chkconfig iptables --list
iptables          0:off   1:off   2:off   3:on    4:on    5:on    6:off

2. Si iptables est désactivé, activez le service pour les niveaux d'exécution 3 à 5

# chkconfig iptables on

2. Assurez-vous que les règles ont été enregistrées sur le disque
1. Vérifiez que les nouvelles règles sont enregistrées dans /etc/sysconfig/iptables .

2. Si elles n'ont pas été enregistrées, enregistrez les règles actuelles après les avoir définies par l'une des deux méthodes indiquées ci-dessous :
a. Enregistrement des règles via la commande de service iptables :

# service iptables save

b. Enregistrement de la sortie de la commande ci-dessous dans le fichier /etc/sysconfig/iptables. Vous pouvez également enregistrer les règles en les écrivant manuellement dans le fichier.

# iptables-save

3. Assurez-vous que les modules iptables sont chargés au démarrage
1. Vérifiez que le module iptables a été chargé immédiatement après le démarrage.

La sortie RHEL 5 devrait ressembler à :

# lsmod | grep tables
ip_tables              55457  1 iptable_filter
ip6_tables             50177  1 ip6table_filter
x_tables               50505  6 ipt_REJECT,xt_state,ip_tables,ip6t_REJECT,xt_tcpudp,ip6_tables

La sortie RHEL 6 devrait ressembler à :

# lsmod | grep table
iptable_filter          2793  1 
ip_tables              17831  1 iptable_filter
ip6table_filter         2889  1 
ip6_tables             19458  1 ip6table_filter

2. Si le module ne se charge pas, supprimez toutes les lignes de liste noire pour les modules iptables de la configuration de modprobe.

# grep -r iptables /etc/modprobe*
/etc/modprobe.d/blacklist.conf:blacklist iptables
/etc/modprobe.d/blacklist.conf:blacklist ip6tables

4. Vérifiez les tableaux pour voir s'ils sont vides ou s'il manque des règles
Vous trouverez ci-dessous un exemple de tableau vidé ou vide :

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain RH-Firewall-1-INPUT (0 references)
target     prot opt source               destination

5. Vérifiez que le fichier de règles n'a pas changé après un redémarrage

# cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bkp
# reboot
# sdiff -s /etc/sysconfig/iptables /etc/sysconfig/iptables.bkp

6. Vérifiez si le redémarrage du service iptables charge correctement les règles
Vérifiez si l'exécution de "service iptables restart" est nécessaire après le démarrage et charge correctement les tables.

# service iptables restart
# service iptables status

Qu'est-ce qui fait qu'iptables se charge à chaque fois après un redémarrage même lorsqu'il est complètement éteintQu'est-ce qui fait qu'iptables se charge à chaque fois après un redémarrage même lorsqu'il est complètement éteint