Was verhindert, dass eine Maschine auf Pings reagiert?

7

Ich habe eine CentOS release 5.4Linux-Box auf Amazon EC2, die ich für die Überwachung über Nagios einrichten möchte. Der Computer befindet sich in derselben Sicherheitsgruppe wie der Nagios-Server, scheint jedoch nicht auf Pings oder NRPE-Überprüfungen zu reagieren, obwohl anscheinend Port 22 geöffnet ist.

Die CentOS-Box kann sich selbst mit ihrer internen IP-Adresse anpingen und den Nagios-Server anpingen, aber der Server kann die CentOS-Box nicht anpingen.

Ich weiß, dass die CentOS-Box verwendet iptableswird. Hier ist der Inhalt der /etc/sysconfig/iptablesDatei (einige IP-Adressen wurden aus Sicherheitsgründen geändert):

# Generated by iptables-save v1.3.5 on May 16 11:28:45 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [56:6601]
-A INPUT -s 149.15.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 72.14.1.153 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 184.119.28.174 -p tcp -m tcp --dport 5666 -j ACCEPT
COMMIT
# Completed on May 16 11:28:45 2012

Der Teil, der mich wirklich erwischt, ist der, selbst nachdem ich es getan habe /etc/init.d/iptables stop:

Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]

Ich kann die Box immer noch nicht anpingen oder NRPE-Überprüfungen durchführen.

Was könnte sonst verhindern pingoder andere Verbindungen? Ich bin mir nicht sicher, was ich sonst noch versuchen soll.

Hier ist eine Liste der Prozesse, die gefunden wurden mit sudo ps -A:

aio/0
atd
bash
cqueue/0
crond
dbus-daemon
dhclient
events/0
hald
hald-runner
init
kauditd
kblockd/0
khelper
khubd
kjournald
kmirrord
kmpathd/0
kpsmoused
kseriod
ksoftirqd/0
kswapd0
kthread
master
migration/0
mingetty
nscd
pdflush
pickup
qmgr
sshd
su
syslog-ng
udevd
watchdog/0
xenbus
xenwatch
xinetd
linux  centos  iptables  firewall  ping 
cwd
quelle
Pings werden nicht an einem bestimmten Port durchgeführt, sondern mithilfe von ICMP-Paketen. Um auf einen Ping zu antworten, muss Ihre Firewall dies zulassen. Vielleicht so etwas wie "-p icmp --icmp-type echo-request -j ACCEPT"
woliveirajr
Wenn also die Firewall ausgeschaltet ist ( /etc/init.d/iptables stopauch ufw ist nicht installiert), sollte es funktionieren. aber es tut nicht ...
cwd
1
Überprüfen Sie auch, ob SELinux Sie irgendwie blockiert. Ich erinnere mich vage an Fälle, in denen ich SELinux auch nach dem Herunterfahren der Firewall optimieren musste.
Tim
7
Entschuldigung, habe den "Stop" verpasst. Bei einigen Nachforschungen stellte ich fest, dass es ein / proc / sys / net / ipv4 / icmp_echo_ignore_all gibt, das auf 0 gesetzt werden sollte. Also, "cat / proc ....", und wenn es Ihnen 1 gibt, machen Sie ein "echo 0" > / proc .... "
woliveirajr
@ Woliveirajr - das ist sehr gut zu wissen. es gibt mir 0jetzt eine, denken Sie auch daran, dass es reagiert, wenn ich ping localhost, und es sieht so aus, als ob ich das einstelle, 1reagiert es nicht einmal mehr auf sich selbst ... hmmm. Ich denke, das ist nicht meine Lösung, aber danke, dass du mir davon erzählt hast! :)
cwd

Antworten:

3

Ich glaube nicht, dass es mit dem Ping-Problem zusammenhängt, aber wenn Sie Selinux vorübergehend deaktivieren möchten, haben Sie folgende Option:

setenforce 0

Es hat Selinux vom Erzwingen in den zulässigen Modus versetzt, um den Zustand des Zustands zu überprüfen

sestatus

dauerhaft zu diable selinux können Sie verwenden system-config-securityleveloder bearbeiten mit nanooder vi /etc/selinux/configund den Parameter ändern aus SELINUX=enforcingzu SELINUX=disabled.

Für mich gibt es in Amazon EC2 eine Regel, die verhindert, dass der Ping-Verkehr zwischen Ihren Computern zugelassen wird ...

Tombolinux
quelle
Wenn diese Dateien und Befehle fehlen, sind sie möglicherweise gelöscht worden, um Änderungen zu verhindern? Ich komme aus zweiter Hand in dieses System. Was ist der beste Weg, um sie zurückzubekommen?
CWD
1
Überprüfen Sie, ob Sie das Paket
policycoreutils
und libselinux-utils (für setenforce) ...
tombolinux
1
woo hoo! Durch die Installation, policycoreutilsdie das libselinux-utilsAusführen setenforce 0und Ausführen umfasst , system-config-securitylevel-tuikann ich die Änderungen korrekt speichern. Vielen Dank!!
CWD
1

Ich denke, Ihr Ping funktioniert aufgrund von SELinux nicht. Versuchen Sie den folgenden Befehl als root:

$ system-config-securitylevel-tui

Ändern Sie die Sicherheitsstufe, um sie zu deaktivieren, und ändern Sie SELinux, um sie ebenfalls zu deaktivieren.

Versuchen Sie jetzt zu pingen, ich denke jetzt funktioniert es, wenn es kein Netzwerkproblem gibt.

pradeepchhetri
quelle
Genial! Es ist auf Enableund eingestellt Enforcing. Ich kann die Tastatur und die Leertaste verwenden, um Disableddie Sicherheitsstufe auszuwählen , aber ich weiß nicht, wie ich Disabledfür SELinux "auswählen" soll . Es sieht so aus, als hätte ich es eingestellt, aber wenn ich auf OK drücke
cwd
@cwd: Sie müssen die Pfeiltaste verwenden, um den SELinux-Wert zu ändern.
pradeepchhetri
Ich denke, es könnte etwas anderes sein, weil ich sehe, dass / selinux / disable Berechtigungen von hat --w-------. Wenn ich u + r chmod und es damit öffne vi, gibt es einen Lesefehler ...
cwd
Das ist nicht das Problem. Berechtigungen sind auch nur bei mir so. Ob Ihre Pfeiltasten (Aufwärtspfeil und Abwärtspfeil) die Option zum Deaktivieren nicht verschieben.
pradeepchhetri
hmm, ich kann die Optionen so ändern, dass sie so aussehen - img841.imageshack.us/img841/7052/picturejp.png . dann benutze ich die Leertaste, um OK zu drücken. Wenn ich das Dienstprogramm erneut ausführe, wird es zurückgesetzt.
CWD
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.