Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
have iptables[+ipset] automatically started at the boot time
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Networking & Security
View previous topic :: View next topic  
Author Message
upengan78
l33t
l33t


Joined: 27 Jun 2007
Posts: 699
Location: IL

PostPosted: Mon Apr 01, 2013 6:53 pm    Post subject: have iptables[+ipset] automatically started at the boot time Reply with quote

Hi

I am having a small problem on my system to have iptables automatically started at the boot time. A few months ago, I had configured iptables with some ipset rules on a running system. That always works fine. The only problem is iptables don't start at boot time. May be due to ipset rules or may be something else is a problem.

Let me show the error and how I take care of this issue manually after system is fully booted.

Code:
 * Loading iptables state and starting firewall ...
iptables-restore v1.4.16.3: Set fullbogons-ipv4 doesn't exist.

Error occurred at line: 59
Try `iptables-restore -h' or 'iptables-restore --help' for more information.                                                                                                  [ !! ]
 * ERROR: iptables failed to start


Same error repeats when I try to manually start the iptables using iptables's init.d script.

The error message shows some relation to ipset. I run 'ipset list' nothing is in the o/p

Code:
#ipset list
#


After much troubleshooting , I fugred this file - /var/tmp/fullbogons-ipv4/fullbogons-ipv4.txt needs to be removed. So I do 'rm /var/tmp/fullbogons-ipv4/fullbogons-ipv4.txt ; /usr/local/sbin/fullbogons-ipv4 ; /usr/local/sbin/block' and there you go, the 'ipset list' shows me expected o/p of subnets/IPs.

Then I attempt to start iptables process, and that too starts fine now. So the problem seems to be the .txt file mentioned above.

Here is my set of INIT scripts.

rc-update show
Code:
              apache2 | default                                                   
              apcupsd | default                                                   
               auditd | default                                                   
                cupsd | default                                                   
                 dbus | default                                                   
                devfs |                                                     sysinit
                dmesg |                                                     sysinit
              dovecot | default                                                   
            ip6tables | default                                                   
             iptables | default                                                   
               iscsid | default                                                   
                jboss | default                                                   
            killprocs |                                     shutdown               
           lm_sensors | default                                                   
                local | default nonetwork                                         
              modules | default                                                   
             mount-ro |                                     shutdown               
                 mrtg | default                                                   
                 mtab | default                                                   
           munin-node | default                                                   
             net.eno1 | default                                                   
               net.lo | default                                                   
             netmount | default                                                   
                 ntop | default                                                   
           ntp-client | default                                                   
                ossec | default                                                   
              postfix | default                                                   
                 root | default                                                   
            rpc.statd | default                                                   
                samba | default                                                   
            savecache |                                     shutdown               
                slapd | default                                                   
                snmpd | default                                                   
            snmptrapd | default                                                   
                 sshd | default                                                   
                 swap | default                                                   
            syslog-ng | default                                                   
                 udev |                                                     sysinit
           udev-mount | default                                             sysinit
           vixie-cron | default                                                   
               vsftpd | default                                                   
               xinetd | default                                                   
                 xrdp | default         



I noticed, iptables start up is attempted before start-up of my external network interface eno1. I am not sure if that is going to be another issue when using iptables-ipset combination. However, having iptables started before network is I guess the best thing to do in order to ensure security in place before networking starts on the system.

My question is, has anyone seen something like this before when using iptables-ipset? Can someone recommend a fix to make iptables start at boot time?

I have two scripts, update_bogons and update_block in /etc/cron.d to create the ipset blocks. And, this could also be an issue only with 'update_bogons' which calls for '/usr/local/sbin/fullbogons-ipv4'

/usr/local/sbin/fullbogons-ipv4 http://bpaste.net/show/88224/

Any help is appreciated.


Last edited by upengan78 on Tue Apr 02, 2013 6:13 pm; edited 1 time in total
Back to top
View user's profile Send private message
Bones McCracker
Veteran
Veteran


Joined: 14 Mar 2006
Posts: 1609
Location: U.S.A.

PostPosted: Mon Apr 01, 2013 9:56 pm    Post subject: Reply with quote

You just need to make sure ipset is up before iptables. You can achieve that by using the dependency features of the initscripts (i.e., "before, after, needs, etc.).
_________________
patrix_neo wrote:
The human thought: I cannot win.
The ratbrain in me : I can only go forward and that's it.
Back to top
View user's profile Send private message
upengan78
l33t
l33t


Joined: 27 Jun 2007
Posts: 699
Location: IL

PostPosted: Tue Apr 02, 2013 3:36 pm    Post subject: Reply with quote

Thank you. I didn't note ipset wasn't configured to start at boot time. But again I didn't really know that ipset has a startup script. I never had to start it aswell, to have those blocks working with iptables.

Anyways, I have added ipset to default run-level now.

Code:
rc-update add ipset default.


rc-status
Code:
Runlevel: default
 udev-mount                                                                                                                                                           [  started  ]
 modules                                                                                                                                                              [  started  ]
 root                                                                                                                                                                 [  started  ]
 mtab                                                                                                                                                                 [  started  ]
 swap                                                                                                                                                                 [  started  ]
 syslog-ng                                                                                                                                                            [  started  ]
 net.lo                                                                                                                                                               [  started  ]
 slapd                                                                                                                                                                [  stopped  ]
 dbus                                                                                                                                                                 [  started  ]
 ipset                                                                                                                                                                [  stopped  ]
 ip6tables                                                                                                                                                            [  started  ]
 iptables                                                                                                                                                             [  started  ]
 net.eno1                                                                                                                                                             [  started  ]
...


Hopefully evertyhing will be fine the next time system gets rebooted. Thanks again!
Back to top
View user's profile Send private message
John R. Graham
Administrator
Administrator


Joined: 08 Mar 2005
Posts: 10156
Location: Somewhere over Atlanta, Georgia

PostPosted: Tue Apr 02, 2013 6:03 pm    Post subject: Reply with quote

Split above three posts off from Efficiently use a live blacklist feed in iptables (w/ ipset).

- John
_________________
I can confirm that I have received between 0 and 499 National Security Letters.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Networking & Security All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum