Điều gì ngăn cản một máy phản ứng với ping?

7

Tôi có một CentOS release 5.4hộp linux trên Amazon EC2 mà tôi đang cố gắng thiết lập để được theo dõi thông qua Nagios. Máy nằm trong cùng nhóm bảo mật với máy chủ nagios, nhưng dường như nó không phản hồi với các kiểm tra ping hoặc NRPE, mặc dù rõ ràng cổng 22 đang mở.

Hộp CentOS có thể tự ping bằng địa chỉ IP bên trong của nó và nó có thể ping máy chủ Nagios, nhưng máy chủ không thể ping hộp CentOS.

Tôi biết hộp CentOS đang sử dụng iptables, đây là nội dung của /etc/sysconfig/iptablestệp (một số ips đã thay đổi để bảo mật):

# Generated by iptables-save v1.3.5 on May 16 11:28:45 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [56:6601]
-A INPUT -s 149.15.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 72.14.1.153 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 184.119.28.174 -p tcp -m tcp --dport 5666 -j ACCEPT
COMMIT
# Completed on May 16 11:28:45 2012

Phần thực sự có được tôi là ngay cả sau khi tôi làm /etc/init.d/iptables stop:

Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]

Tôi vẫn không thể ping hộp hoặc kiểm tra NRPE trên nó.

Những gì khác có thể được ngăn chặn pinghoặc kết nối khác? Tôi không chắc chắn những gì khác để thử.

Dưới đây là danh sách các quy trình được tìm thấy với sudo ps -A:

aio/0
atd
bash
cqueue/0
crond
dbus-daemon
dhclient
events/0
hald
hald-runner
init
kauditd
kblockd/0
khelper
khubd
kjournald
kmirrord
kmpathd/0
kpsmoused
kseriod
ksoftirqd/0
kswapd0
kthread
master
migration/0
mingetty
nscd
pdflush
pickup
qmgr
sshd
su
syslog-ng
udevd
watchdog/0
xenbus
xenwatch
xinetd

— cwd
nguồn

ping không được thực hiện trên một cổng cụ thể, chúng được thực hiện bằng cách sử dụng các gói ICMP. Để trả lời ping, tường lửa của bạn phải cho phép nó. Có thể một cái gì đó như "-p icmp --icmp-type echo-request -j ACCEPT"

— woliveirajr

vì vậy nếu tường lửa tắt ( /etc/init.d/iptables stopcũng không cài đặt ufw) thì nó sẽ hoạt động. nhưng nó không ...

— cwd

1

Ngoài ra, hãy kiểm tra xem liệu Selinux có chặn bạn bằng cách nào đó không. Tôi mơ hồ nhớ những trường hợp tôi phải điều chỉnh SELinux ngay cả sau khi tắt tường lửa.

— Tim

7

xin lỗi, đã bỏ lỡ "điểm dừng" Thực hiện một số nghiên cứu, tôi thấy rằng có / Proc / sys / net / ipv4 / icmp_echo_ignore_all nên được đặt thành 0. Vì vậy, "cat / Proc ...." và nếu nó mang lại cho bạn 1, hãy thực hiện "echo 0 > / Proc .... "

— woliveirajr

@woliveirajr - đó là điều rất tốt để biết. nó cho tôi một 0quyền ngay bây giờ, cũng nhớ rằng nó sẽ phản hồi khi tôi ping localhost, và có vẻ như nếu tôi đặt 1nó cho nó không còn đáp ứng ngay cả với chính nó ... hmmm. Tôi đoán đó không phải là sửa chữa của tôi nhưng cảm ơn bạn đã cho tôi biết về điều này! :)

— cwd

3

Tôi không nghĩ rằng nó liên quan đến vấn đề ping, nhưng nếu bạn muốn tắt selinux tạm thời, bạn có tùy chọn này:

setenforce 0

nó đặt selinux từ chế độ cho phép sang chế độ cho phép, để kiểm tra tình trạng chạy của nó

sestatus

để selinux có thể thay đổi vĩnh viễn, bạn có thể sử dụng system-config-securitylevelhoặc chỉnh sửa với nanohoặc vi /etc/selinux/configthay đổi tham số từ SELINUX=enforcingsang SELINUX=disabled.

Đối với tôi, có một quy tắc trong Amazon EC2 ngăn không cho phép lưu lượng ping giữa các máy của bạn ...

— Tombolinux
nguồn

nếu những tập tin và lệnh đó bị thiếu thì có thể chúng đã bị xóa để ngăn những thay đổi không? Tôi đang sử dụng hệ thống này. Cách tốt nhất để lấy lại chúng là gì?

— cwd

1

kiểm tra xem bạn đã cài đặt gói

— policycoreutils

và libselinux-utils (cho setenforce) ...

— Tombolinux

1

woo hoo! cài đặt policycoreutilsbao gồm libselinux-utils, sau đó thực hiện setenforce 0và sau đó chạy system-config-securitylevel-tuicho phép tôi lưu các thay đổi chính xác. cảm ơn!!

— cwd

1

Tôi nghĩ rằng ping của bạn không hoạt động vì SELinux. Hãy thử lệnh sau với quyền root:

$ system-config-securitylevel-tui

Thay đổi Cấp độ bảo mật để vô hiệu hóa và thay đổi SELinux cũng vô hiệu hóa.

Bây giờ hãy thử ping, tôi nghĩ bây giờ nó sẽ hoạt động nếu không có vấn đề về mạng.

— pradeepchhetri
nguồn

Tuyệt vời! Nó được đặt thành Enablevà Enforcing. Tôi có thể sử dụng bàn phím và phím cách để chọn Disabledmức độ bảo mật, nhưng tôi không biết cách "chọn" Disabledcho SELinux. Dường như tôi đã đặt nó nhưng sau đó khi tôi nhấn OK và trở lại mức độ bảo mật được thiết lập nhưng không có các SELinux - img708.imageshack.us/img708/6703/pictureyc.png

— PT

@cwd: Bạn phải sử dụng phím mũi tên để thay đổi giá trị SELinux ..

— pradeepchhetri

Tôi nghĩ rằng nó có thể là một cái gì đó khác bởi vì tôi thấy rằng / selinux / vô hiệu hóa có quyền --w-------. Nếu tôi chmod u + r và mở nó với vinó thì có lỗi đọc ...

— cwd

Đó không phải là vấn đề .. chỉ có như vậy trong tôi cũng vậy .. tất cả các phím mũi tên của bạn (mũi tên lên và mũi tên xuống) không di chuyển tùy chọn để vô hiệu hóa ..

— pradeepchhetri

hmm, tôi có thể thay đổi các tùy chọn để trông như thế này - img841.imageshack.us/img841/7052/picturejp.png . sau đó tôi sử dụng thanh không gian để nhấn OK. Khi tôi chạy lại tiện ích, nó hoàn nguyên.

— cwd

1

Nó có thể là một thiết lập trong kernel hoặc iptables.

Để kiểm tra cấu hình kernel:

cat /proc/sys/net/ipv4/icmp_echo_ignore_all

Cho phép trả lời ICMP (tạm thời):

echo 0> /proc/sys/net/ipv4/icmp_echo_ignore_all

Cho phép trả lời ICMP (vĩnh viễn):

Biên tập /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_all=0

Trích xuất từ: http://www.sysadmit.com/2016/03/linux-respuesta-ping-habilitar-o-deshabilitar.html

— tomasfreide
nguồn

0

tập tin sysctl.conf cũng ngăn phản ứng ping. Vui lòng xem tại http://www.trickylinux.net/disable-ping-response-linux/

Điều này có thể sẽ giúp bạn.

— Harish Nischal
nguồn