DRINGEND - reloading external firewall failed

Hallo,

Der ipfire sperrt den Internetzugang und lässt sich auch nicht zurücksetzen.

Heute früh ging das Freischalten des Internets nicht mehr, daher habe ich verschiedene Dinge überprüft:

  • Passwortloser Zugang vom server geht
  • Festplatte ist nicht voll
  • Speicher ist ok

Ich musste wegen eines Fehlers eines externen Betreuers außerdem noch die workstations korrigieren (zwei Baustellen sind nicht so schlau - ich weiß) und stellte dann fest, dass beim Schritt reloading external firewall… ein timeout kommt.

Hat jemand eine Idee?

Die Kollegen würden mich steinigen, wenn sie im Gebäude Steine finden würden.

Grüße
Angelika

Liebe Angelika,

zunächst einmal: Wir bekommen unglaublich wenig Anrechnungsstunden für
unseren Aufwand. Dafür ist eine 100%-Verfügbarkeit schlichtweg nicht
leistbar, das kann man den Kolleginnen und Kollegen durchaus erklären.

Zudem wäre dies eigentlich ein Fall für den externen Dienstleister - den
Du vermutlich durch Deinen Einsatz einsparst.

Nun zur Sache:

Ich würde zunächst den IPFire neu starten. Wenn dann das Internet wieder
verfügbar ist, erst mal abwarten, bis weniger los ist.

Dann ganz genau die Änderungen an der Workstations-Datei überprüfen, ob
da nicht ein Tippfehler vorliegt. Oder sicherheitshalber zunächst die
alte funktionierende Version einspielen.

Anschließend nochmal “import_workstations” durchlaufen lassen.

Wenn das nichts hilft, kann man sich vom IPFire rückwärts hangeln und
jeweils sehen, wo genau die Netzverbindung klemmt (IP-Adresse pingen,
DNS testen, …).

Viele Grüße

Jörg

Hallo Jörg,

vielen Dank, für deine Hilfe, ich habe vergessen zu erwähnen, dass ich den ipfire schon neu gestartet habe. Das mit dem Steinigen war stark übertrieben, die meisten haben Verständnis.

Ich kann sowohl vom ipfire, als auch vom server aus heise pingen. von den clients aus geht nur https, sonst nichts. und wie gesagt, die Fehlermeldung beim import_workstations.

Gruß
Angelika

So noch einen Schritt weiter, Geräte, die in den allowedhosts stehen dürfen über die erlaubten Protokolle raus, aber was über den proxy läuft geht nicht.

Es sind also zwei Probleme:

  • die allowedhost können vom server nicht mehr aktualisiert werden, obwohl der passwortlose ssh-zugang vom server geht
  • Alles was über den Proxy geht kommt nicht durch

Ratlose Grüße
Angelika

Liebe Angelika,

OK, das sieht schon mal gut aus.

Die Symptome deuten darauf hin, dass der Proxy nicht richtig läuft.
Kontrolliere doch mal die Einstellungen des Web-Proxy im IPFire,
vielleicht fällt Dir ja was auf.

Ansonsten würde eich versuchen, ein Backup der IPFire-Einstellungen
einzuspielen. Schau mal in den Ordner (auf dem Server):

/var/backup/linuxmuster/ipfire

Wenn da eine aktuelle Sicherung liegt, dann kannst Du sie mit:

linuxmuster-ipfire --restore

zurückspielen.

Wenn Du keine Sicherung hast, dann kannst Du mit:

linuxmuster-ipfire --setup

Den IPFire komplett zurücksetzen - dabei gehen dann aber etwaige
händische Firewallregeln verloren. Anschließend müsstest Du
"import_workstations" aufrufen.

Das alles ist ganz gut hier beschrieben:

https://www.linuxmuster.net/wiki/dokumentation:handbuch:maintenance:ipfire.backuprestore

Viele Grüße

Jörg

Lieber Jörg,

Vielen Dank, ich habe das Backup von heute früh eingespielt, daraufhin ging das Internet für freigeschaltete Rechner wieder, da war also irgend etwas nicht in Ordnung. Habe aber seitdem nur (weil das oft hilft) den Cache des Proxy geleert gehabt.

Aber import_workstations hat noch dasselbe Problem bei dem Schritt reloading external firewall… irgendwann bricht er mit einem timeout ab.

Grüße
Angelika

Hallo Angelika,

vielen Dank, für deine Hilfe, ich habe vergessen zu erwähnen, dass ich
den ipfire schon neu gestartet habe. Das mit dem Steinigen war stark
übertrieben, die meisten haben Verständnis.

Ich kann sowohl vom ipfire, als auch vom server aus heise pingen. von
den clients aus geht nur https, sonst nichts. und wie gesagt, die
Fehlermeldung beim import_workstations.

schau mal im IPFire, ob da im Proxy noch MAC Adressen stehen.
Das ist Hier:
Netzwerk-> Webproxy und dann runter scrollen zu:
Netzwerkbasierte Zugriffskontrolle.
Dort stehen rechte eingeschränkte und gesperrte MAC Adressen: lösch die
mal raus und drück dann unten auf „Speichern und Neustart“

Dann noch zur vollen Festplatte: es gibt voll in zweierlei Hinsicht.
Ich nehme an, dass du nach der Datenmenge geschaut hast: ich frage nun
aber nach der Datenanzahl.
Das sind die Inodes.
Das bekommst du mit
df -i
auf dem IPFire raus.

Aber am Besten löschst du mal den squidcache.
Das ist der Knopf rechts neben dem „Speichern und Neustarten“ von gerade
eben.
Danach rebooten und testen

Wenn das nicht hilft, dann solltest du dir überlegen, ob du überhaupt
schon viele Einstellungen im IPFire gemacht hast.
Mach mal einen Screenshot der Einstellungen unter „Firewall->Firewallregeln“

und dann kannst du vom Server aus den IPFire platt machen mittels

linuxmuster-ipfire --setup --first
Dann ist der wieder frisch wie ein Frühlingsmorgen :slight_smile:
Aber du mußt deine Firewallregeln wieder einrichten.

LG

Holger

Hallo Angelika,

der letzte mit dem Problem hatte einen Fehler in einer der drei Dateien:

/etc/linuxmuster/allowed_ports oder base_ports oder blocked_ports

Bitte poste die mal.

LG

Holger

Hallo Angelika,

außerdem führ mal folgenden Befehl auf dem Server aus und poste die Ausgabe:

restart-fw --ext

LG

Holger

Hallo Holger,

restart-fw --ext
Restarting external firewall … Found lockfile /tmp/.linuxmuster.lock!
Remaining 600 seconds to wait …
Remaining 590 seconds to wait …
Remaining 580 seconds to wait …

Das läuft noch weiter, aber ich glaube nicht, dass ich das jetzt posten muss…

Das lockfile könnte aber eventuell von einem abgebrochenen linuxmuster-reset stammen??

Hallo Angelika,

… und weil wir schon dabei sind: bitte schau mal auf dem IPFire nach,
ob das Verzeichnis
/etc/logrotate/
existiert.
ISt es leer?

LG

Holger

Hallo Holger,

die allowed_ports auf dem Server ist vom 3.8. (da habe ich server-updates gemacht), die base_ports und die blocked_ports sind von 2008 (also nie editiert), seitdem lief aber schon alles, daran wird es also nicht liegen.

das Verzeichnis /etc/logrotate/ existiert nicht auf dem ipfire, nur ein leeres Verzeichnis /etc/logrotate.d/ und eine Datei logrotate.conf, die ich nie angefasst habe.

Viele Grüße
Angelika

Hallo Angelika,

restart-fw --ext
Restarting external firewall … Found lockfile /tmp/.linuxmuster.lock!
Remaining 600 seconds to wait …
Remaining 590 seconds to wait …
Remaining 580 seconds to wait …

Das läuft noch weiter, aber ich glaube nicht, dass ich das jetzt posten
muss…

Das lockfile könnte aber eventuell von einem abgebrochenen
linuxmuster-reset stammen??

ich denke, du kannst das lockfile einfach löschen.

Wenn du ganz sicher gehen willst, dann reboote den Server.
Ist das Lockfile dann immernoch da, dann lösch es.

LG

Holger

Liebe Monika,

kann sein, aber egal: Wenn gerade keine besonderen Skripte laufen, dann
lösch das Lock doch einfach mal und versuche es nochmal.

Viele Grüße

Jörg

Hallo,
ich bin jetzt einfach Holgers Vorschlag den Server neu zu starten gefolgt, daraufhin ergab ein restart-fw --ext ein einfaches
Restarting external firewall ... Success!
Der anschließende import_workstations lief dann plötzlich auch durch.

Irgendetwas war also auch noch auf dem server hängen geblieben, ich werde aber wohl nie erfahren was.

Was ich also gemacht habe: Fehler (ein Host ohne NW-Maske, fehlendes Semikolon am Ende) in der workstations korrigiert (das war aber gleich am Anfang), ipfire-backup eingespielt, ipfire und server neu gestartet.

Auf jeden Fall vielen Dank an euch zwei. Habe wieder ein paar neue Befehle kennen gelernt.

Viele Grüße
Angelika

Hallo Angelika!

Fehler (ein Host ohne NW-Maske, fehlendes Semikolon am Ende) in der
workstations korrigiert

Ist beides kein Fehler mehr. Das Feld der NW-Maske nimmt den MS-OfficeKey auf
für die Aktivierung über Linbo. Semikolon am Ende kann aber muss nicht.

Beste Grüße

Thorsten

######## eingesetztes System ########
LINUXMUSTER.NET
Die freie Linux Musterlösung

  • virtualisiert unter KVM
    • Server
      Codename Babo
      linuxmuster-base 6.2.8-2ubuntu0
    • IPFire Core 113
      linuxmuster-ipfire 1.2.10-0ubuntu0
    • coovachilli auf Blau
  • Linbo 2.3.26
  • Schulkonsole 0.36.0-27