- PR -

電源ON時samba 電源off時namedの終了に時間がかかる。

1|2 次のページへ»
投稿者投稿内容
ひろ
会議室デビュー日: 2005/10/05
投稿数: 11
投稿日時: 2005-10-05 23:33
始めまして、Linux初心者の「ひろ」と申します。
サーバー構築の本を見ながら付属のFedora4で
サーバーを構築しております

早速ですが、
iptablesを自動起動させるようにしてから
起動時にsmbの所で5分以上 [OK] が表示されず
iptablesを起動させたままシャットダウンをすると
namedの所で [OK] が表示されず終了するのに5分以上かかってしまいます

smbのトラブルは chkconfig smb off にして
namadのトラブルは強制的に電源を切っています。

これらは当たり前の事なのでしょうか
どなたかアドバイスをよろしくお願いします。

[ メッセージ編集済み 編集者: ひろ 編集日時 2005-10-05 23:36 ]

[ メッセージ編集済み 編集者: ひろ 編集日時 2005-10-05 23:37 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-10-06 00:43
こんばんわ.

iptables の設定内容がわからないので断言できませんが,
loopback な通信を遮断してしまったりしていませんか?
# iptables -L
の結果か,/etc/sysconfig/iptables の内容を
貼りこんでいただいたほうが詳しいレスがつくかもしれません.
anights
ぬし
会議室デビュー日: 2003/05/22
投稿数: 277
お住まい・勤務地: 東京
投稿日時: 2005-10-06 10:24
引用:

ひろさんの書き込み (2005-10-05 23:33) より:
namedの所で [OK] が表示されず終了するのに5分以上かかってしまいます


sambaの方はよく分かりませんが、redhat系の/etc/init.d/namedスクリプトは
rndcコマンドを使用して停止処理を行うのでbindを標準的な設定でしていれば
loopbackアドレス(127.0.0.1):TCPポート953との通信が発生します。
その通信がiptablesによって妨げられている可能性はありますね。

なのでkazさんが言われるようにiptablesの設定内容を書かれた方が
読んでいる方には分かり易いかと。

ただ、公開したくない情報もあるかと思うので(IPアドレスとか)
その辺りは気をつけた方がいいでしょう。
ひろ
会議室デビュー日: 2005/10/05
投稿数: 11
投稿日時: 2005-10-06 23:38
こんばんわ
早速の返信ありがとうございます

rndcコマンド>
意味がわからなかったので調べてみたのですが
こんな機能があると得ただけで、今の私では理解まではきませんでした
もう少し勉強してみます

今日は時間がないのでTCPポート953の開放までテストはできませんが
iptablesの設定を載せますので
よろしければアドバイスをよろしくお願いします。


#!/bin/sh

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p udp --dport 67 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 901 -j ACCEPT

#iptables -A INPUT -j LOG --log-prefix "### INPUT ###"
#iptables -A FORWARD -j LOG --log-prefix "### FORWARD ###"
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-10-07 06:00
おはようございます.

やはり interface が lo のものが見当たらないようです.
bind は rndc という tool を使って動作を制御できます.
※最終的に停止されてるなら違うかなと思いましたが...
で,anights様ご指摘のように loopback 経由で通信します.
INPUT の default policy を DROP にされてますから,
-i lo を -j ACCEPT したほうがよろしいでしょう.

それと Samba の port を INPUT で -j ACCEPT していませんが,
これは問題ありませんか?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-10-07 09:53
引用:

#iptables -A INPUT -j LOG --log-prefix "### INPUT ###"
#iptables -A FORWARD -j LOG --log-prefix "### FORWARD ###"

ログ取得、コメントアウトせずにちゃんと実行して、確認してください。

同じくloへのルールだとは思うんだけど、
何をブロックしてるんだか把握せずにiptables使ってる、
っていう状況もある意味問題の原因だと思います。
ひろ
会議室デビュー日: 2005/10/05
投稿数: 11
投稿日時: 2005-10-08 00:26
返信ありがとうございます
早速iptablesに設定を手探りながら追加してみたところ
smbとnamedのトラブルの症状が改善されました

追加した設定です
IPTABLES -A INPUT -i lo -j ACCEPT

matunさん>
ログをコメントにしているのは
コマンドを打っている最中や
設定をしている最中にログが流れてきて
操作が出来ないのでログをコメントにしています。


まだまだ勉強不足なので、手探りに操作いている段階ですが
貴重なアドバイスありがとうございました
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-10-08 13:29
こんにちわ.
引用:

ひろさんの書き込み (2005-10-08 00:26) より:

ログをコメントにしているのは
コマンドを打っている最中や
設定をしている最中にログが流れてきて
操作が出来ないのでログをコメントにしています。

特定の file に書き込むように設定すればよろしいのでは?
syslog の設定も必要でしょうけど,運用の手がかりになると思います.
security incident の把握などに有効です.
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)