سلام دوستان
من یه 3 ماهی هست که دنبال راه حل این مشکلم ولی متاسفانه هیچکس نبوده که جواب بده دیتاسنتر هم که قربونش برم سلام هم میدی میگه we are unmanaged ...
مشکل چیه؟
من یه سرور اختصاصی دارم که بر روش Centos 5.7 نصبه.
من طی یه سری حمله های ddos فکر کردم نه این ddos ها قویه که csf بن نمیکنه و package پایین ولی تعداد بالا داره میده و ازین حرفا.
امروز با کامپیوتر خونم یه doshttp به سایت خودم دادم دیدنم نه خیر این اصلا بن نمیکنه.
پی این مشکل به این اطلاعات تو تست csf بر خوردم :

# /etc/csf/csftest.pl
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...FAILED [Error: iptables: Unknown error 18446744073709551615] - Required for PORTFLOOD and PORTKNOCKING features
Testing xt_connlimit...FAILED [Error: iptables: Unknown error 18446744073709551615] - Required for CONNLIMIT feature
Testing ipt_owner/xt_owner...FAILED [Error: iptables: Unknown error 18446744073709551615] - Required for SMTP_BLOCK and UID/GID blocking features
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf will function on this server but some features will not work due to some missing iptables modules [3]

هرجا میرم صحبت از اینه که تو vps ها این مشکل به وجود میاد ولی من dedicated داذم.
دیتاسنتر هم که این جواب رو داده :
You only need to enable the IPTABLES required modules on the kernel.
کسی میدونه این با کی کار داره؟ D:
لطفا اگه کسی بلده و میدونه این module های iptables رو چطوری میتونم روشن کنم بگه چون تا امروز من ذر اصل antiddos ی نداشتم :))

با تشکر
داداشیان

در حال حاضر Iptables بروی سرور شما فعال هست یا استاپ کردید ؟
اگر استارت هست آیا رول خاصی براش تعریف کردید ؟

استارت هست ولی rule های خودش رو داره من چیزی اضافه تعریف نکردم.

مگه خودتون سرور رو کانفیگ نکردید ؟ در حاضر دسترسی دارید رول جدید اضافه کنید یا تغییری دهید ؟

در حال حاضر این پیامی که گذاشتید مربوط به ران کردن یکی از ماوژل‌ها در کانفیگ Iptables هست در صورتی که خود ماژول وجود نداره !

اگر اشتباه نکنم cfg پسوند فایل کانفیگ هست . باید دقیقا بررسی بشه .

دسترسی دارم ولی بخاطر تازه کار بودن بلد نیستم این کار رو انجام بدم...
باید چیکار کنم؟

خوب من الان بخوام با شما تک تک ماژول ها رو چک کنم و فایل کانفیگ رو با هم چک کنیم خیلی طول می کشه .

یه پیشنهاد سریع !

یه بک آپ از کانفیگ Iptables تهیه کنید و سپس iptables رو به تنظیمات اولیه برگردونید
در این محل می تونید کانفیگ رو بیابید

/etc/sysconfig/iptables

بک آپ گرفتم فقط تنظیمات اولیه رو از کجا تهیه کنم؟ دوباره باید بریزم یا command خاصی داره؟

این iptables چقدر گستردس الان یکی دو ساعتی هست دارم برای اینکه جواب شما رو بدم همه داکیومنتا رو می خونم .

لاگ ها رو اول یه چک بکن ببین اروری می بینی ؟
با این صورت


iptables -A OUTPUT -j LOG iptables -A INPUT -j LOG iptables -A FORWARD -j LOG iptables -A OUTPUT -j DROP iptables -A INPUT -j DROP iptables -A FORWARD -j DROP


این لاگ ها رو در مسیر زیر چک کن



/var/log/messages


نمونه کانفیگ iptables


#flush tables /usr/sbin/iptables -F # DUMP /usr/sbin/iptables -N DUMP > /dev/null /usr/sbin/iptables -F DUMP /usr/sbin/iptables -A DUMP -p tcp -j LOG /usr/sbin/iptables -A DUMP -p udp -j LOG /usr/sbin/iptables -A DUMP -p tcp -j REJECT --reject-with tcp-reset /usr/sbin/iptables -A DUMP -p udp -j REJECT --reject-with icmp-port-unreachable /usr/sbin/iptables -A DUMP -j DROP # Stateful table /sbin/iptables -N STATEFUL > /dev/null /sbin/iptables -F STATEFUL /sbin/iptables -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A STATEFUL -m state --state NEW -i ! eth0 -j ACCEPT /sbin/iptables -A STATEFUL -j DUMP # loopback rules /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # drop reserved addresses incoming (these are reserved addresses # but may change soon /sbin/iptables -A INPUT -i eth0 -s 0.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 1.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 2.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 5.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 7.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 23.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 27.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 31.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 36.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 39.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 41.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 42.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 58.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 59.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 60.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 169.254.0.0/16 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 197.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 224.0.0.0/3 -j DUMP /sbin/iptables -A INPUT -i eth0 -s 240.0.0.0/8 -j DUMP #set iptables to allow everything from my work network /usr/sbin/iptables -A INPUT -i eth1 -p all -s 160.86.0.0/16 -j ACCEPT /usr/sbin/iptables -A INPUT -i eth1 -p all -j DROP # allow certain inbound ICMP types (ping, traceroute..) /sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type destination-unreachable -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type time-exceeded -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT # Drop all packets to port 111 except those from localhost /usr/sbin/iptables -A INPUT -s !127.0.0.0/8 -p tcp --dport 111 -j DROP # kill off identd quick /sbin/iptables -A INPUT -p tcp -i eth0 --dport 113 -j REJECT --reject-with tcp-reset # sfs /sbin/iptables -A INPUT -p tcp -i eth0 --dport 4 -j ACCEPT # ftp /sbin/iptables -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT /sbin/iptables -A INPUT -p udp -i eth0 --dport 21 -j ACCEPT # ssh /sbin/iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT /sbin/iptables -A INPUT -p udp -i eth0 --dport 22 -j ACCEPT # www /sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p udp -i eth0 --dport 80 -j ACCEPT # https /sbin/iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT /sbin/iptables -A INPUT -p udp -i eth0 --dport 443 -j ACCEPT # Don't log route packets coming from routers - too much logging /sbin/iptables -A INPUT -p udp -i eth0 --dport 520 -j REJECT # Don't log smb/windows sharing packets - too much logging /sbin/iptables -A INPUT -p tcp -i eth0 --dport 137:139 -j REJECT /sbin/iptables -A INPUT -p udp -i eth0 --dport 137:139 -j REJECT

خوب قبل از این که این کار بالا رو انجام بدم باید با کمال تاسف بگم که الان دیگه iptables هم استارت نمیشه.
Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: mangle filter nat [ OK ]
Unloading iptables modules: [FAILED]
Applying iptables firewall rules: [ OK ]
Loading additional iptables modules: ip_conntrack_netbios_n[FAILED]
عذر میخوام اینقد دارم وقتتونو میگیرم.

لاگ هم ارور Bad argument `iptables' میده ... منظورتون رو که گفتید در مسیر

/var/log/messages چک کنم نفهمیدم...

خوب مشکل رو پیدا کردیم فکر کنم . نه ما کارمون اینه که مشکل رو پیدا کنیم : )


Loading additional iptables modules: ip_conntrack_netbios_n[FAILED]

این کار رو انجام بده ، به مسیر زیر برو



/etc/sysconfig/iptables-config

با nano باز کن و سطر های زیر رو پیدا کن و شکل زیر تغییر بده



IPTABLES_MODULES="ip_conntrack_netbios_ns" IPTABLES_MODULES_UNLOAD="yes"



به



IPTABLES_MODULES="" IPTABLES_MODULES_UNLOAD="no"


حالا ری استار کن




$service iptables restart

مشکل Faild ها رو حل کردم ( امروز میخواستم openvz بریزم یک سری تغییر ها داده بودم آخرم نتونستم بریزم :)) )

الان iptables دوباره به صورت صحیح و سالم ران شده کارایی که گفتی رو هم برای اطمینان انجام دادم و Restart ...

حالا؟

مشکل Faild ها رو حل کردم ( امروز میخواستم openvz بریزم یک سری تغییر ها داده بودم آخرم نتونستم بریزم :)) )

الان iptables دوباره به صورت صحیح و سالم ران شده کارایی که گفتی رو هم برای اطمینان انجام دادم و Restart ...

حالا؟

بله حل شد فکر کنم .
با اون دستورهایی که دادم چک کن . حل کردی یعنی چی ؟ الان این همه راه رفتیم قبلا حل شده بود ؟ : \

منظورم مشکل failed دادن iptables بود که به خاطر دست کاری های من بود ولی مشکل اصلی هنوز پا بر جا هست اونم ارور دادن iptables موقع تست csf هست :


Testing ipt_recent...FAILED [Error: iptables: Unknown error 18446744073709551615] - Required for PORTFLOOD and PORTKNOCKING features
Testing xt_connlimit...FAILED [Error: iptables: Unknown error 18446744073709551615] - Required for CONNLIMIT feature
Testing ipt_owner/xt_owner...FAILED [Error: iptables: Unknown error 18446744073709551615] - Required for SMTP_BLOCK and UID/GID blocking features

RESULT: csf will function on this server but some features will not work due to some missing iptables modules [3]

کسی نیست به من کمک کنه لطفا؟

من برای شما ماژولی که نصب نیست و به خاطرش ارور میده پیدا کردم

Loading additional iptables modules: ip_conntrack_netbios_n[FAILED]

پروسه حل کردن این موضوع خیلی طول کشید در صورت تمایل با من در یاهو یا جی تاک تماس بگیرید .

دوست من ، مشکل load شدن iptables حل شد و دیگه فیل نمیده.
ولی من هنوز در این قسمت مشکل دارم :


Testing ipt_recent...FAILED [Error: iptables: Unknown error 18446744073709551615] - Required for PORTFLOOD and PORTKNOCKING features
Testing xt_connlimit...FAILED [Error: iptables: Unknown error 18446744073709551615] - Required for CONNLIMIT feature
Testing ipt_owner/xt_owner...FAILED [Error: iptables: Unknown error 18446744073709551615] - Required for SMTP_BLOCK and UID/GID blocking features

RESULT: csf will function on this server but some features will not work due to some missing iptables modules [3