مشکلی عجیب با iptables

تفریبا هر 2 روز یک بار یدفعه کلا ترافیک رو iptables بن میکنه
اگر ssh باز داشته باشم بن نمیشه و با زدن service iptables stop restart start
همه چی اوکی میشه
rule ها ر خوندم ولی چیزی عجیب برام نبود
جالب اینجاست که اگه تو ssh نبام وقتی بن میکنه دیگه نمیشه واردش شد
نکته ی دیگه اینه که وقتی Ping میگیرم میبینم در این شرایط بعضی موقع ها پینگ رو جواب میده
این دفعه هیچ ssh ای باز نداشتم اون قدر هی کانکت به سرور از طریق ssh رو زدم تا بالاخره تونستم توی یکی از اون زمان هایی که به ssh میشه وصل شد وصب شمو iptables رو stop کنم
به نظر شما iptables کرش کزده؟
یا eule ای توش اینجوری می کنه

ممنونم

سلام
یه بار به این مشکل بر خوردم که از طرف فایروال csf بود.
با ای پی vpn وارد شدم.فایروال را استوپ کردم و unstall کردم و مجدد نصب و کانفیگ کردم.
خوب شد.

من هم csf رو unistall کردم بعد دوباره install باز هم این مشکل هست :((

کس دیگه ای این مشکل رو نداشته؟

منم اين مشكل رو دارم اما از قرار معلوم اينجا كسي جواب نميده.چون هفته پيش هم مطرح كردم اما كسي جوابي نداد

بزارز توی job cron هر یک ساعت ip table رو استوپ کند

من توی یاهو برای باز کننده تاپیک گفتم حواب این تاپیک رو بده . چون ایشون خودشون مشکل رو حل کرده بود .

باشه

پس من منتظر جواب ايشون ميمونم:63:

سلام
قبلا برای رفع این مشکل یک مقاله قبلا نوشتم
در این آدرس می تونی ببینی
fixing Linux centos Iptables ip_conntrack: table full, dropping packet | Woshka's Experiences

البته مشکل شما دلایل متفاوتی می تواند داشته باشد که این یکی از دلایلش می تواند باشد

ممنونم

ببرسي كردم متن رو و انجام دادم

اميدوارم درست بشه

نقل قول:

---

نوشته اصلی توسط clip2ni

ممنونم

ببرسي كردم متن رو و انجام دادم

اميدوارم درست بشه

---

مشکلتون اگر حل شد اینجا مطرح کنید تا از کارآمد بودن این هک مطمئن بشیم

نقل قول:

---

نوشته اصلی توسط Woshka

مشکلتون اگر حل شد اینجا مطرح کنید تا از کارآمد بودن این هک مطمئن بشیم

---

آخه يك مسئله اي كه هست اينكه من الآن چند كار رو با هم انجام دادم

هم از اين هك استفاده كردم هم فلوش كردم iptables رو هم يك فايروال رو uninstall كردم كه با csf تداخل نداشته باشه !!

يعني اگه درست بشه معلوم نيست از كدوم يكيه !!!!:">

نقل قول:

---

نوشته اصلی توسط clip2ni

ممنونم

ببرسي كردم متن رو و انجام دادم

اميدوارم درست بشه

---

اگر دیگه درست بشه نشون میده از این کایری هستش که من گفتم

با سلام

دوست عزيزم مشكل حل نشد و اكرلوز دوباره قطع شد سرور

آيا ميشه iptables رو پاك كنم و دوباره نصب كنم؟

شما بهتر از یه تاپیک دیگر باز کنی
این تاپیک صاحب دارد و اجازه پاسخ گویی به شما رو نداریم

نقل قول:

---

نوشته اصلی توسط clip2ni

با سلام

دوست عزيزم مشكل حل نشد و اكرلوز دوباره قطع شد سرور

آيا ميشه iptables رو پاك كنم و دوباره نصب كنم؟

---

دوست عزيز صفحات قبل رو بخون!

مشكل من دقيقا همين چيزي بوده كه اينجا مطرح شده و مديران انجمن هم پست داده اند!

والا خوندم
و اقا وحید مدیریت فرموندن

اما در مورد مشکل شما فقط میشه استاپ کرد

service iptables stop

یا دستوری بنویسد هر ده دقیقه یا هر نیم ساعت این سرویس استوپ کند

عزيزم stop هم كه كردم باز هم درست نشد !!

يادمه چند هفته پيش stop كردم اما بعد دو روز باز قطع شد !!

اما اين دستور ريستارت مثلا هر 24 ساعت بهترين كاره اما بلد نيستم

وظیفه ما است که بهتون یاد بدهیم نیم ساعت دیگر براتون همیجا ارسال میکنم

آیا سرور رو پس از تغییر در sysctl ریبوت کرده اید؟

ممنونم و منتظرم

---------- Post added at 07:52 PM ---------- Previous post was at 07:50 PM ----------

نقل قول:

---

نوشته اصلی توسط HugeServer

آیا سرور رو پس از تغییر در sysctl ریبوت کرده اید؟

---

منظورتون از sysctl چيه؟

اما كلا سرور رو بعد از انجام كارهام ريستارت نكردم هيچ وقت به جز بعد از زدن iptables - f كه سرور down شد و مجبور شدم ريستارت كنم

این دستور رو بزن بگو چه عددی میده؟

کد PHP:

---

sysctl net.ipv4.netfilter.ip_conntrack_max 


---

نقل قول:

---

نوشته اصلی توسط Woshka

این دستور رو بزن بگو چه عددی میده؟

کد PHP:

---

sysctl net.ipv4.netfilter.ip_conntrack_max 


---

---

65536 !!!!!!!

---------- Post added at 08:20 PM ---------- Previous post was at 08:14 PM ----------

من مطمئنم همه كارايي كه اون روز گفته بودي رو انجام دادم

يعني : fixing Linux centos Iptables ip_conntrack: table full, dropping packet | Woshka's Experiences

yum install nano

su root

nano clip2ni

service iptables stop

CTRL+x

y

chmod 755 clip2ni
export VISUAL=nano
set | grep VISUAL

crontab -e

*/30 * * * * /root/clip2ni

save and yes


service crond restart


exit

done.

نقل قول:

---

نوشته اصلی توسط DeltaGostar

yum install nano

su root

nano clip2ni

service iptables stop

CTRL+x

y

chmod 755 clip2ni
export VISUAL=nano
set | grep VISUAL

crontab -e

*/30 * * * * /root/clip2ni

save and yes


service crond restart


exit

done.

---

ميشه بگي اين چي كار ميكنه؟

هر نیم ساعت . سرویس ای پی تیبل رو استاپ میکنه

وقتی شما سرورت به هر دلیل یا بار هر عاملی این سرویس روشن شود مثلا cSF با این دستورات اوتومات میتونید این سرویس غیرفعال کنید

نقل قول:

---

نوشته اصلی توسط DeltaGostar

هر نیم ساعت . سرویس ای پی تیبل رو استاپ میکنه

وقتی شما سرورت به هر دلیل یا بار هر عاملی این سرویس روشن شود مثلا cSF با این دستورات اوتومات میتونید این سرویس غیرفعال کنید

---

سرور خودتون رو هم هی Iptables رو استاپ می کنید؟
اونوقت امنیت از بین میره که!

والا مشکل دوستمون گیر این است و راه حل خواستن
وگرنه امنیت درجه 1 است

مگر معیار دوستمون اولا آپتایم باشد
به هر حال هر چند وقت سرورشون down میشد به علت این مشکل و توصیه میشه اساسی این مشکل را رفع کنن

نقل قول:

---

نوشته اصلی توسط Woshka

سرور خودتون رو هم هی Iptables رو استاپ می کنید؟
اونوقت امنیت از بین میره که!

---

ووشكا جان اولا اگر هر 24 ساعت يك بار بشه بازم بده؟

دوما ميدوني چرا بعد از انجام اون عمليات باز هم 200.000.0 واسه من Save نشده بود؟

آيا بعد از همه اون كارهايي ك تو اون صفحه گفتي كار ديگه اي بايد بكنم؟ مثل save iptables يا restart iptables بلافاصله !! ؟

---------- Post added at 09:03 PM ---------- Previous post was at 08:58 PM ----------

نقل قول:

---

نوشته اصلی توسط DeltaGostar

هر نیم ساعت . سرویس ای پی تیبل رو استاپ میکنه

وقتی شما سرورت به هر دلیل یا بار هر عاملی این سرویس روشن شود مثلا cSF با این دستورات اوتومات میتونید این سرویس غیرفعال کنید

---

براي اينكه هر نيم ساعت restart بشه كافيه فقط service iptables stop رو بكنم service iptables restart ؟

نقل قول:

---

نوشته اصلی توسط DeltaGostar

والا مشکل دوستمون گیر این است و راه حل خواستن
وگرنه امنیت درجه 1 است

مگر معیار دوستمون اولا آپتایم باشد
به هر حال هر چند وقت سرورشون down میشد به علت این مشکل و توصیه میشه اساسی این مشکل را رفع کنن

---

قبولت داریم
ولی امنیت مطلق نیست

---------- Post added at 09:12 PM ---------- Previous post was at 09:12 PM ----------

نقل قول:

---

نوشته اصلی توسط clip2ni

ووشكا جان اولا اگر هر 24 ساعت يك بار بشه بازم بده؟

دوما ميدوني چرا بعد از انجام اون عمليات باز هم 200.000.0 واسه من Save نشده بود؟

آيا بعد از همه اون كارهايي ك تو اون صفحه گفتي كار ديگه اي بايد بكنم؟ مثل save iptables يا restart iptables بلافاصله !! ؟

---------- Post added at 09:03 PM ---------- Previous post was at 08:58 PM ----------



براي اينكه هر نيم ساعت restart بشه كافيه فقط service iptables stop رو بكنم service iptables restart ؟

---

بله درسته
لی انیتت میره در حد صفر

ووشكا جواب اين رو ندادي !!

ميدوني چرا بعد از انجام اون عمليات باز هم 200.000.0 واسه من Save نشده بود؟

این رو بزن

کد PHP:

---

/sbin/sysctl -p 


---

حل میشه
بعدش این رو بزار توی یک فایل قابل اجرا
توی کرون جاب هر 30 دقیقه یک بار قایل رو اجرا کنه
حله ;)

---------- Post added at 10:32 PM ---------- Previous post was at 10:26 PM ----------

نقل قول:

---

نوشته اصلی توسط clip2ni

ووشكا جان اولا اگر هر 24 ساعت يك بار بشه بازم بده؟

دوما ميدوني چرا بعد از انجام اون عمليات باز هم 200.000.0 واسه من Save نشده بود؟

آيا بعد از همه اون كارهايي ك تو اون صفحه گفتي كار ديگه اي بايد بكنم؟ مثل save iptables يا restart iptables بلافاصله !! ؟

---------- Post added at 09:03 PM ---------- Previous post was at 08:58 PM ----------



براي اينكه هر نيم ساعت restart بشه كافيه فقط service iptables stop رو بكنم service iptables restart ؟

---

بستگی به تعداد کانکشن سرورت داره هر چند مدت پر بشه
کلا ریستارت کردن iptables خطر امنیتی داره
دلیل اینکه این تنظیمات از بین میره بخاطر اینه که یا سرورت ریبوت شده یا iptables ریستارت شده

آره

دقيقا iptables ريستارت شده

ميشه كاري كرد كه بعد از ريستارتش حذف نشه ؟

الآن ريستارت كردم iptables رو و بعدش اين ارور رو براي اولين بار داره ميده :

کد PHP:

---

[root@hostname ~]# sysctl -w net.ipv4.netfilter.ip_conntrack_max=2000000
error: "net.ipv4.netfilter.ip_conntrack_max" is an unknown key 


---

---------- Post added at 10:38 PM ---------- Previous post was at 10:34 PM ----------

ارور از بين رفت لطفا بگو چجوري كاري كنم كه ذخيره بشه !