Xtables-Addons не работает и блокирует все ips - PullRequest
Новая
       33

Xtables-Addons не работает и блокирует все ips

0 голосов
/ 23 февраля 2019

Я использую Debian 9.8 Stretch x64 на сервере.Вчера я обновил с официального репозитория файлы ядра с 4.9.133 до 4.9.144.После перезагрузки я не смог получить доступ к своему серверу.Все порты были заблокированы.Я установил соединение VNC и сбросил брандмауэр.Все было восстановлено.

Один за другим я анализировал правила iptables (я не использую Firewalld, ufw, ...).Когда я вставил правило для модуля geoip (INPUT I INPUT -m geoip --src-cc CN, IN - REJECT --reject-with icmp-port-unreachable) я не смог продолжить сессию ssh.Я снова использовал VNC для удаления правила.

Что я делал до сих пор:

  • Команда modprobe xt_geoip не выдает никакого сообщения об ошибке.
  • Команда depmod -aработает без проблем.
  • lsmod |Команда grep xt_geoip показывает в результате две строки: одну xt_geoip и x_tables.
  • удалены и очищены xtables-addons-commons и apt-get autoremove, затем я снова установил все с нуля.
  • Я использовалстарая база данных geo_ip (папки BE / LE) с 2017 и 2018 гг. без удачи.Так что проблема не связана с использованием базы данных IP xtables.

На мой взгляд, модуль загружается ядром.Я попробую переустановить на тестовом компьютере ядро ​​4.9.133.Если это сработает, то в новой версии ядра 4.9.144 есть ошибка, которая создает проблемы с модулем xtables-addons / geoip.

1 Ответ

0 голосов
/ 19 апреля 2019

У меня были подобные проблемы, поскольку Maxmind устарел в старых базах данных в январе 2019 года.

Я также попытался вернуться к более старым файлам базы данных xt_geoip, но безуспешно.Я также попытался адаптировать новые скрипты xtables-addons для загрузки из новой базы данных Maxmind.Все эти вещи потерпели неудачу.

В конце я использовал сценарии преобразования из: https://github.com/mschmitt/GeoLite2xtables и ссылался на Преобразование данных GeoLite2 для использования с xtables geoip для загрузки и преобразованияновые файлы Maxmind.

Я столкнулся с дополнительными препятствиями:

1) Во время одной из неудачных попыток решить эту проблему были созданы файлы, такие как ".iv4" и "1.iv4".Я удалил все файлы / каталоги / etc в / usr / share / xt_geoip / BE и / usr / share / xt_geoip / LE

2) Затем я использовал информацию по ссылкам выше для загрузки и сборки файлов базы данных xtablesиз данных GeoLite2.

3) На данный момент мои существующие правила, основанные на геоприложении iptables, по-прежнему не работают.Но удаление правила и его повторное добавление привело к тому, что оно начало функционировать.Не совсем понятно, почему я должен был предпринять это действие (кэширование? Загрузка баз данных при создании правил? Не знаю).

...