Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Problème Iptables inaccessible
Bonjour,
J'utilise iptables comme firewall et depuis ce matin je n'arrive pas à y acceder.
Je m'explique:
1) je ne peux pas le redémarrer avec service iptables restart
2) le status (service iptables status) est : ipables is not configured (alors qu'il l'est et était fonctionnel y a encore quelques heures)
3) sur webmin la page iptables ne se charge pas
4) quand je redémarre le server il bloque sur l'arrêt du service iptables
Y a pas d'informations intéressantes dans les logs.
Une idée ?
Merci
en farfouillant un peu j'ai trouvé ça :
Feb 17 14:36:03 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Feb 17 14:36:03 webserver kernel: iptables D c180dc80 0 16508 16379
Feb 17 14:42:02 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Feb 17 14:42:02 webserver kernel: iptables D c180dc80 0 16508 16379
Feb 17 14:48:03 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Feb 17 14:48:03 webserver kernel: iptables D c180dc80 0 16508 16379
Feb 17 14:51:03 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Feb 17 14:51:03 webserver kernel: iptables D c180dc80 0 16508 16379
Feb 17 14:57:03 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Feb 17 14:57:03 webserver kernel: iptables D c180dc80 0 16508 16379
Feb 17 15:05:12 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Feb 17 15:05:12 webserver kernel: iptables D c180dc80 0 16508 16379
Feb 17 15:09:03 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Feb 17 15:09:03 webserver kernel: iptables D c180dc80 0 16508 16379
Feb 17 15:12:02 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Feb 17 15:12:02 webserver kernel: iptables D c180dc80 0 16508 16379
Feb 17 15:15:03 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Feb 17 15:15:03 webserver kernel: iptables D c180dc80 0 16508 16379
Feb 17 15:42:03 webserver kernel: INFO: task iptables:16508 blocked for more than 120 seconds.
Cela indique généralement que ton iptables est coincé en attente d'IO (état D : uninterruptible sleep).kernel: iptables D c180dc80 0 16508 16379
A priori, c'est pas bon
Le mieux à faire dans ce cas la :
1- si tu es pressé : hard reboot (je ne pense pas qu'un kill -9 fera l'affaire)
(je te conseille ceci ... parce que sinon, ça sera galère)
Ensuite, voit sur le bugzilla de ta distro si il y a des info à ce sujet.
Dans le doute, mets à jour iptables.
2- si tu n'est pas pressé, tu peux chercher dans quelle fonction ton process est coincé. pour cela, à priori, on peut faire un `strace -p $(pidof iptables)` ou équivalent. Cela devrait donner un tout petit peu plus d'info (quelle est la primitive qui coince)
Merci de ta réponse,
En regardant bien ça arrive sur toutes mes new install (centos généralement). Et en regardant encore mieux a chaque fois iptables pour ipv6 s'installe. J'ai l'impression que ça mets en conflit la situation d'avoir les deux car j'ai un autre serveur sous centos aussi mais sans iptables + ip6tables qui fonctionne tres bien (iptable seulement).
Ce problème est embettant dans le sens ou le firewall se désactive complètement et fait de mon serveur une passoire ....
D'accord. Donc :
0- souhaites tu simplement désactiver l'IPv6 sur ta machine pour ne pas te compliquer la vie ?
0- Bis : pour te simplifier la vie, ne souhaites tu pas simplement mettre à jour ton kernel et iptables* ? juste au cas ou c'est un bug corrigé ?
Si tu te sens motivé pour de l'analyze :
1- quelle version de centOS ? quelle version de kernel ? quelle version iptables ? Quelle version d'iptables-ipv6 ?
2- contenu de /etc/sysconfig/iptables*
3- répurération de données brutes :
Préparation de la machine :
Puis une fois que le problème arrive, tu dump les process :
Code : Sélectionner tout - Visualiser dans une fenêtre à part # echo 1 > /proc/sys/kernel/sysrq
Ca va te mettre beaucoup de lignes dans /var/log/messages.
Code : Sélectionner tout - Visualiser dans une fenêtre à part # echo t > /proc/sysrq-trigger
Il faudra que tu liste le(s) process en état D, avec le traceback. pourrais-tu attacher ça au ticket ?
Pour toute te dire je me préoccupe pas de l'ipv6 pour le moment. Je l'ai désinstallé.
Pour commencer on va rester sur le cas de ma nouvelle installation, un server centos 5.4 x86 64 tout à jour avec le dernier kernel dispo via les dépots officiel. Pour info j'ai rajouté le dépot d'Atomic Turtle rocket.
Donc ma version stable d'iptable est la plus récente. La config est basic pour un début, j'ai laissé les paramètres de system-config-security en ajoutant le port 10000 et 22.
Je pense que cela règlera le problème.
Sincèrement parlant, les bugs et les crashs, sous Linux, ça existe aussi.
Si le problème revient, fait les étapes si dessus, et on verra ce qu'il en sort
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager