проблемы с обновлением

[efo]

Вам придётся сесть и подумать, что вы с системой делали. Потому что правила ниоткуда не берутся.

Помимо ufw устанавливал iptables-persistent, но тоже уже удалил.
Еще, когда пытался восстановить доступ по ssh сделал kill какого-то процесса.

iptables снова пришлось очищать iptables -F, чтобы убрать ошибку доступа к сайту 502.

(Нажмите, чтобы показать/скрыть)

у меня в машине движок стучит, пришлось движок убрать

Сами-то поняли, что убрали?

Честно? Нет. Знаю только, что после очистки правил iptables -F ошибка доступа к сайту 502 пропадает и возможен доступ по ssh.

[efo]

скажите, пожалуйста,

netfilter-persistent и iptables-persistent

это одно и то же?

[AnrDaemon]

Задачи у них одинаковые, судя по названию.

[efo]

команда systemctl status netfilter-persistent

(Нажмите, чтобы показать/скрыть)

systemctl status netfilter-persistent
Warning: netfilter-persistent.service changed on disk. Run 'systemctl daemon-rel
● netfilter-persistent.service
   Loaded: masked (/dev/null; bad)
   Active: inactive (dead)

можно сделать вывод, что
1. Этот сервис присутствует в системе?
2. Если я его удалю будут какие-то серьезные последствия?

[ecc83]

1. Этот сервис присутствует в системе?

Конфиг файлы присутствуют на диске, а сам сервис не активен, т.е. выключен.

2. Если я его удалю будут какие-то серьезные последствия?

Сэконимите 50 килобайт дискового пространства.

[efo]

удалил netfilter-persistent

Без firewalld.service сервер будет выполнять свои функции? Может он блокирует?
systemctl status firewalld

(Нажмите, чтобы показать/скрыть)

● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/lib/systemd/system/firewalld.service; enabled; vendor preset
   Active: active (running) since Вт 2018-11-20 19:48:47 MSK; 12min ago
 Main PID: 3157 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─3157 /usr/bin/python3 -Es /usr/sbin/firewalld --nofork --nopid

ноя 20 19:48:46 ubuntu systemd[1]: Starting firewalld - dynamic firewall daemon.
ноя 20 19:48:47 ubuntu systemd[1]: Started firewalld - dynamic firewall daemon.

Пользователь добавил сообщение 20 Ноября 2018, 20:16:33:Cделал firewalld стоп, старт. Пропал доступ по ssh, сайт выдает 502.

[ecc83]

удалил netfilter-persistent

Всмысле файлы с диска удалил?

[AnrDaemon]

Пропал доступ по ssh, сайт выдает 502.

чо
Правила показывайте. И почему 502? Раз 502 выдаёт, значит, работает, просто криво настроен.

[efo]

удалил netfilter-persistent

Всмысле файлы с диска удалил?

apt-get remove --purge netfilter-persistent

Пропал доступ по ssh, сайт выдает 502.

чо
Правила показывайте. И почему 502? Раз 502 выдаёт, значит, работает, просто криво настроен.

Что выяснил:
- перезагружаю машину - доступа ssh нет, у сайта ошибка 502
- iptables -F - доступ ssh есть, сайт работает
- перезагружаю firewalld - доступа ssh нет, у сайта ошибка 502 (iptables-save дает те же правила, что и после перезагрузки). Проблема решается очисткой.

ниже iptables после перезагрузки машины и после перtзапуска firewalld (нерабочая у меня конфигурация)

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.6.0 on Wed Nov 21 09:24:26 2018
*raw
:PREROUTING ACCEPT [204:16012]
:OUTPUT ACCEPT [160:11840]
:OUTPUT_direct - [0:0]
:PREROUTING_direct - [0:0]
-A PREROUTING -j PREROUTING_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Wed Nov 21 09:24:26 2018
# Generated by iptables-save v1.6.0 on Wed Nov 21 09:24:26 2018
*security
:INPUT ACCEPT [160:11840]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [160:11840]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Wed Nov 21 09:24:26 2018
# Generated by iptables-save v1.6.0 on Wed Nov 21 09:24:26 2018
*nat
:PREROUTING ACCEPT [44:4172]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [40:2400]
:POSTROUTING ACCEPT [40:2400]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_public - [0:0]
:POST_public_allow - [0:0]
:POST_public_deny - [0:0]
:POST_public_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -g POST_public
-A POST_public -j POST_public_log
-A POST_public -j POST_public_deny
-A POST_public -j POST_public_allow
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Wed Nov 21 09:24:26 2018
# Generated by iptables-save v1.6.0 on Wed Nov 21 09:24:26 2018
*mangle
:PREROUTING ACCEPT [204:16012]
:INPUT ACCEPT [170:12797]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [160:11840]
:POSTROUTING ACCEPT [160:11840]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Wed Nov 21 09:24:26 2018
# Generated by iptables-save v1.6.0 on Wed Nov 21 09:24:26 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [160:11840]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_public - [0:0]
:FWDI_public_allow - [0:0]
:FWDI_public_deny - [0:0]
:FWDI_public_log - [0:0]
:FWDO_public - [0:0]
:FWDO_public_allow - [0:0]
:FWDO_public_deny - [0:0]
:FWDO_public_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -p icmp -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -p icmp -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j OUTPUT_direct
-A FORWARD_IN_ZONES -g FWDI_public
-A FORWARD_OUT_ZONES -g FWDO_public
-A FWDI_public -j FWDI_public_log
-A FWDI_public -j FWDI_public_deny
-A FWDI_public -j FWDI_public_allow
-A FWDO_public -j FWDO_public_log
-A FWDO_public -j FWDO_public_deny
-A FWDO_public -j FWDO_public_allow
-A INPUT_ZONES -g IN_public
-A IN_public -j IN_public_log
-A IN_public -j IN_public_deny
-A IN_public -j IN_public_allow
-A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Wed Nov 21 09:24:26 2018

iptables после очистки правил (частичном рабочая конфигурация - не работает apt-get update, см. первое сообщение)

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.6.0 on Wed Nov 21 09:21:55 2018
*raw
:PREROUTING ACCEPT [13563:1082981]
:OUTPUT ACCEPT [9627:754445]
:OUTPUT_direct - [0:0]
:PREROUTING_direct - [0:0]
-A PREROUTING -j PREROUTING_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Wed Nov 21 09:21:55 2018
# Generated by iptables-save v1.6.0 on Wed Nov 21 09:21:55 2018
*security
:INPUT ACCEPT [10035:759219]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9627:754445]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Wed Nov 21 09:21:55 2018
# Generated by iptables-save v1.6.0 on Wed Nov 21 09:21:55 2018
*nat
:PREROUTING ACCEPT [3789:347571]
:INPUT ACCEPT [261:23809]
:OUTPUT ACCEPT [2323:139360]
:POSTROUTING ACCEPT [2323:139360]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_public - [0:0]
:POST_public_allow - [0:0]
:POST_public_deny - [0:0]
:POST_public_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -g POST_public
-A POST_public -j POST_public_log
-A POST_public -j POST_public_deny
-A POST_public -j POST_public_allow
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Wed Nov 21 09:21:55 2018
# Generated by iptables-save v1.6.0 on Wed Nov 21 09:21:55 2018
*mangle
:PREROUTING ACCEPT [13563:1082981]
:INPUT ACCEPT [10184:775705]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9627:754445]
:POSTROUTING ACCEPT [9627:754445]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Wed Nov 21 09:21:55 2018
# Generated by iptables-save v1.6.0 on Wed Nov 21 09:21:55 2018
*filter
:INPUT ACCEPT [6827:521867]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6418:517005]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_public - [0:0]
:FWDI_public_allow - [0:0]
:FWDI_public_deny - [0:0]
:FWDI_public_log - [0:0]
:FWDO_public - [0:0]
:FWDO_public_allow - [0:0]
:FWDO_public_deny - [0:0]
:FWDO_public_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
COMMIT
# Completed on Wed Nov 21 09:21:55 2018

[AnrDaemon]

Так, а теперь ещё раз, медленно.
Что есть firewalld ?

Код: [Выделить]

# systemctl status firewalld
Unit firewalld.service could not be found.


[efo]

Так, а теперь ещё раз, медленно.
Что есть firewalld ?

Код: [Выделить]

# systemctl status firewalld
Unit firewalld.service could not be found.


AnrDaemon, я не понял, это вопрос ко мне или демонстрация того, как это выглядит у Вас?

[AnrDaemon]

Это вопрос к вам, ведь система ваша. У меня такого юнита ни на одной системе ни с 16.04 ни с 18.04 нет.

[ecc83]

У меня такого юнита ни на одной системе ни с 16.04 ни с 18.04 нет.

Такое есть на Fedora и CentOS. Откуда "оно" у автора, непонятно.

[efo]

Если есть, значит ставил. Когда - не помню уже. Были проблемы, пытался решить как мог.
Т.е. мне ЭТО удалить?
Мои действия:

# systemctl disable firewalld
# systemctl stop firewalld

Все правильно?
Откуда после этого будут браться правила iptables? Я, так понимаю, мне надо установить iptables. Подскажите, что мне нужно сделать после удаления firewalld, чтобы быть готовым к проблемам.

[AnrDaemon]

Откуда после этого будут браться правила iptables?

Они вообще ниоткуда не должны браться, для начала. Должно быть чисто и свободно от всяких странных правил.
Покажите
dpkg --list firewalld не надо.

Код: [Выделить]

apt-get remove --purge firewalld; apt-get autoremove --purge; rebootПравила должны быть чистыми.