[Eisfair] [E1]Problem mit iptables oder BFB mit iptables

Dirk Alberti Howy-1 at gmx.de
Di Dez 21 19:32:10 CET 2021 

Hallo zusammen,

ich habe zur Zeit ein sehr ominöses Problem, welches bei Nutzung von 
BruteForceBlocking mit iptables auftaucht.

Irgendwie ist localhost bzw. 127.0.0.1 nicht erreichbar und alles was 
damit zu tun hat, klemmt.

Dazu muss ich etwas ausholen:

Ich hatte heute früh 160 Emails von meinem Server im Fach, von 
erfolglosen Cronjobs (Job '/usr/bin/php -f 
/var/www/htdocs/owncloud/cron.php) und auch von Eistemp.

Beides funktionierte auch nicht.  Ebenso wie die komplette 
Namensauflösung des Servers und auch massive Probleme im Asterisk, dass 
SIP nicht ging und die Verbndung zu den IAXmodems.
Ich hatte sogar eine Mail drin, von Nagios, das localhost UREACHABLE wäre!

Zeitpunkt seit dem die Symptome auftraten war genau gestern 23 Uhr und 
genau da gibt es einen Cronjob von BFB:  00 23 * * 1 
/etc/init.d/brute_force_blocking restart cron >/dev/null 2>&1


Nach viel Rumprobieren und mehreren Reboots des Servers hatte ich dann 
heut vormittag alles wieder am laufen, bis ich ebendiesen o.g. 23 
Uhr-Cronjob bei der Ursachenforschung entdeckte und genau diesen Befehl 
manuell ausführte: /etc/init.d/brute_force_blocking restart cron

Vom Moment an waren so ziemlich alle Probleme wieder da.
Herausgefunden hatte ich in der Zwischenzeit, dass das Problem mit 
Nextcloud am nichtfunktionierenden Redis-Server lag. Dieser war auch 
nicht zu einem Restart zu bewegen, kam mit einem Timeout, dass er auf 
127.0.0.1 nicht zu erreichen wäre.

Nach einigen weiteren Versuchen habe ich dann BFB auf nftables 
umgestellt und alle Probleme waren weg.
Der Redis lässt sich erreichen, worauf auch Nextcloud wieder geht.
Eistemp hat seine OneWire-Sensoren wieder, Nagios sagt, localhost sei 
wieder erreichbar und lässt sich auch anpingen. Asterisk funktioniert 
wieder wie es soll usw.

Ich habe es mehrmals ausprobiert:  BFB mit nftables geht, stelle ich auf 
iptables um, habe ich wieder genau die geschilderten Probleme.

Ich lasse es jetzt auf nftables stehen, in der Hoffnung, dass damit nun 
Ruhe ist.


Grüße, Dirk-

Mehr Informationen über die Mailingliste Eisfair