金生丽水，雨润轩德

日志

关于我

thinklog

文章分类

LOFTER精选

八招诀窍，教你实力撩妹 >

网易考拉推荐

Redhat iptables 故障案例

2012-07-22 11:45:14| 分类： Linux | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

在配置redhat iptables 防火墙时，遇到如下几个问题：

1. 在启动防火墙时，系统报错：

[root@redhat2-linux-2101 sysconfig]# service iptables restart
清除防火墙规则：                                           [确定]
把 chains 设置为 ACCEPT 策略：filter                       [确定]
正在卸载 Iiptables 模块：                                  [确定]
应用 iptables 防火墙规则：Bad argument `COMMIT'
Error occurred at line: 25
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

[失败]
[root@redhat2-linux-2101 sysconfig]#

配置文件如下：

[root@redhat2-linux-2101 sysconfig]# cat iptables

     1 # Firewall configuration written by system-config-securitylevel
     2 # Manual customization of this file is not recommended.
     3 *filter
     4 :INPUT ACCEPT [0:0]
     5 :FORWARD ACCEPT [0:0]
     6 :OUTPUT ACCEPT [0:0]
     7 :RH-Firewall-1-INPUT - [0:0]
     8 -A INPUT -j RH-Firewall-1-INPUT
     9 -A FORWARD -j RH-Firewall-1-INPUT
    10 -A RH-Firewall-1-INPUT -i lo -j ACCEPT
    11 -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
    12 -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
    13 -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
    14 -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
    15 -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
    16 -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
    17 -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    18 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
    19 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    20 -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p tcp --dport 177 -j ACCEPT
    21 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
    22 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
    23
    24 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
    25 COMMIT
    26 #the end

第25行的语句是 COMMIT，这是系统所必须的一句。如果注释掉，系统或报错提示需要commit。

经过检查，原因是在COMMIT语句之后有空格，经过在其他机器上测试，在添加空格后系统就会出现上述错误。如果是commit与上面一句之间没有明确使用回车断开，也会有此问题和错误提示，但使用cat命令查看看不到中间的空格，很容易误认为是commit是下一行，其实不是。

在网上搜索时，看到有人提到是内核参数问题，需要重新编译。不知道是否和这个有关系。

2. 修改上述内容后重新启动，仍报错：

[root@redhat2-linux-2101 sysconfig]# service iptables restart
清除防火墙规则：                                           [确定]
把 chains 设置为 ACCEPT 策略：filter                       [确定]
正在卸载 Iiptables 模块：                                  [确定]
应用 iptables 防火墙规则：Bad argument `COMMIT'
Error occurred at line: 25
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
                                                           [失败]
[root@redhat2-linux-2101 sysconfig]#

奇怪了，还会有啥问题呢？

查看日志看到如下信息：

Jul 22 11:15:20 OW2-linux-2101 kernel: ip_tables: udp match: only valid for protocol 17

后来想到，-m 状态过滤是否是针对TCP而言的，UDP协议没有连接状态，是否是因为-m 参数项中不能使用UDP协议呢。

将20行注释之后，iptables 重启启动正常。

将20行中 udp 177端口的许可更改到上面

-A RH-Firewall-1-INPUT -p udp -m udp --dport 177 -j ACCEPT

然后重新启动iptables 服务。

评论这张

转发至微博

阅读(3102)| 评论(0)

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_087066081081089065082083087066072081080075093080087075086',
              blogTitle:'Redhat iptables 故障案例',
              blogAbstract:'<P\>       在配置redhat iptables 防火墙时，遇到如下几个问题：</P\>  <P\>1.  在启动防火墙时，系统报错：</P\>  <P\> [root@redhat2-linux-2101 sysconfig]# service iptables restart<BR\>清除防火墙规则：                                           [确定]<BR\>把 chains 设置为 ACCEPT 策略：filter                       [确定]<BR\>正在卸载 Iiptables 模块：         </P\>',
              blogTag:'iptables,commit',
              blogUrl:'blog/static/718961822012622112116749',
              isPublished:1,
              istop:false,
              type:0,
              modifyTime:1342928714785,
              publishTime:1342928714764,
              permalink:'blog/static/718961822012622112116749',
              commentCount:0,
              mainCommentCount:0,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'',
              hmcon:'1',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/718961822012622112116749">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 博客风格 - 手机博客 - 下载LOFTER APP - 订阅此博客

金生丽水，雨润轩德

导航

日志

Redhat iptables 故障案例

历史上的今天

最近读者

热度

评论

页脚