Iptables op CentOS7 doet raar

Ik ben via deze tutorial bezig om OpenVPN op een CentOS7 bak te installeren. Dit gaat eigenlijk goed en lijkt zonder fouten te zitten. Totdat we ons bezig moeten gaan houden met Iptables (zucht).

Het volgende is het geval:

[root@vpn2 easy-rsa]# systemctl mask firewalld
ln -s '/dev/null' '/etc/systemd/system/firewalld.service'
[root@vpn2 easy-rsa]# systemctl enable iptables
ln -s '/usr/lib/systemd/system/iptables.service' '/etc/systemd/system/basic.target.wants/iptables.service'
[root@vpn2 easy-rsa]# systemctl stop firewalld
[root@vpn2 easy-rsa]# systemctl start iptables
Job for iptables.service failed. See 'systemctl status iptables.service' and 'journalctl -xn' for details.

Dus doen we een systemctl status iptables.service:

[root@vpn2 easy-rsa]# systemctl status iptables.service
iptables.service - IPv4 firewall with iptables
Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled)
Active: failed (Result: exit-code) since do 2015-02-05 05:51:33 EST; 18min ago
Process: 1045 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=1/FAILURE)
Main PID: 1045 (code=exited, status=1/FAILURE)

feb 05 05:51:33 vpn2 systemd[1]: Starting IPv4 firewall with iptables...
feb 05 05:51:33 vpn2 iptables.init[1045]: iptables: Applying firewall rules: iptables-restore: line 14 failed
feb 05 05:51:33 vpn2 iptables.init[1045]: [FAILED]
feb 05 05:51:33 vpn2 systemd[1]: iptables.service: main process exited, code=exited, status=1/FAILURE
feb 05 05:51:33 vpn2 systemd[1]: Failed to start IPv4 firewall with iptables.
feb 05 05:51:33 vpn2 systemd[1]: Unit iptables.service entered failed state.

Dus lees ik /etc/sysconfig/iptables in waarin ik dus line 14 bestudeer:

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Mar daar staat dus COMMIT, wat dus eigenlijk goed is. Google bied ook geen oplossing. Weet iemand hoe ik mijn iptables service gestart krijg onder centOS 7?

[root@vpn2 easy-rsa]# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

Dat probleem had ik gisteren ook toen ik het probeerde op CentOS 6. Dit zou te maken hebben met -m state, maar wat ik ook probeer, niks werkt.

Ow ja, ik zit op een OpenVZ VPS waarin TUN aanstaat. Maar dat heeft niet echt invloed op iptables zover ik weet.

Ja sorry, ik volg gewoon de tutorial en ik ben eerlijk gezegd ook helemaal niet bekend met firewalld...

Die regel had ik er al in staan op ipt_state na....ik ga hem implementeren en laat het je weten. Dom van me dat ik niet meteen in de FAQ van OpenVZ heb gekeken.

bedankt

freggy schreef op donderdag 05 februari 2015 @ 13:27:
[...]


Nochtans kan het er veel mee te maken hebben.

http://openvz.org/Setting_up_an_iptables_firewall:

[...]

Helaas, dat heeft ook niet mogen baten...het is "bijzonder" moeilijk om OpenVPN op CentOS & Debian draaiend te krijgen op de laatste versies van beide distros. Ben er al nu 24 uur mee bezig, maar draaiend krijgen ho maar. Op Debian had ik het zover dat ik met mijn client kon connecten, maar eenmaal connectie kon ik niet meer internetten. Wel op IP, dus DNS probleem, maar wat ik ook heb geprobeerd, ik heb het niet voor elkaar gekregen. Maar we geven niet op

Excuus voor de late reactie. Maar het is gelukt. Op de HN moest ik nog een hoop instellen qua modules en ook iptables moest opengezet worden.

Ik heb dus de laatste link van Thralas gevolgd, dus:

iptables -P FORWARD ACCEPT
iptables -F FORWARD

En dan:

modprobe xt_tcpudp
modprobe ip_conntrack
modprobe xt_state

Maar bij modprobe xt_tcpudp kreeg ik een error "FATAL: Module xt_tcpudp not found." dus daar een uur mee bezig geweest om er achter te komen dat het schijnbaar niet noodzakelijk was.

Toen:

vzctl set 105 --devnodes net/tun:rw --save
vzctl set 105 --devices c:10:200:rw --save
vzctl set 105 --capability net_admin:on --save
vzctl exec 105 mkdir -p /dev/net
vzctl exec 105 mknod /dev/net/tun c 10 200
vzctl exec 105 chmod 600 /dev/net/tun

Waar 105 de CTID is van de container waar je tun draaiend wilt hebben. En met deze settings alsmede de aanpassing van IPTABLES_MODULES line kon ik uiteindelijk iptables fatsoenlijk starten en de regels in iptables toevoegen die nodig zijn.

Ik kon toen connecten met mijn client aan de VPN server, maar kreeg geen internet op mijn client. Kon wel de server pingen. Dus na veel zoeken kwam ik de volgende regels tegen:

iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to-source 123.123.123.123
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 123.123.123.123

Make sure you change 123.123.123.123 to your server IP.

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -j SNAT --to-source 123.123.123.123

En toen werkte het.

Allemaal heel erg bedankt voor jullie hulp. Ik begrijp dat het not done zou zijn om door te gaan met iptables ipv firewalld, maar ik had net iptables een beetje onder de knie, dus heb persoonlijk zelf niet zoveel zin om me weer te verdiepen in firewalld op het moment. Dom? Ik denk het niet...ik denk dat als je iptables eenmaal goed onder de knie hebt, alle andere firewalls en hun opbouw makkelijker te begrijpen zijn.

Ja ik snap dat ze het wat willen moderniseren enzo, maar voor mij kwam het op een beroerd tijdstip, omdat ik net iptables onder de knie begon te krijgen. En ik ben zo'n autist dat ik het dan gewoon blijf gebruiken totdat het niet meer kan