Iptables influenciando no desligamento do sistema.

Atento
(usa Debian)

Enviado em 05/03/2012 - 00:02h

Bom dia pessoal,
estou implementando uma máquina virtual para testes de um servidor antes de colocá-la em produção, mas estou enfrentando um problema que não estou conseguindo resolver.

As regras do firewall são essas (não terminado):

IPTABLES=`which iptables`

$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -A INPUT -s 192.168.1.0/24 -j ACCEPT

Até aqui tudo bem, tudo funciona como eu espero.
O problema ocorre quando eu desligo a máquina virtual com o comando "halt".
Me parece que algum processo está tentando utilizar alguma porta que está bloqueada pelo firewall:

http://imageshack.us/f/714/inic2.png/

O que ocorre é que na primeira parte que diz "failed" o pc fica parada uns 2 minutos, depois fica parado novamente em "Stopping portmap daemon..."
Achei que o problema fosse o portmap, mas já liberei o tráfego da interface loopback e mesmo assim não resolveu.
No arquivo /etc/defaults/portmap eu já setei a interface para escutar apenas 127.0.0.1 mas nada adiantou.
Mas se eu altero as políticas das cadeias para ACCEPT, tudo funciona normalmente. O sistema é desligado normalmente, sem erros.
Tentei procurar alguma informação nos logs, mas não encontrei nada referente ao erro.

Alguém tem alguma sugestão?
Estou usando Debian Squeeze.

saitam
(usa Slackware)

Enviado em 05/03/2012 - 10:05h

o script firewall deve ser salvo em /etc/init.d/rc.firewall.sh com permissão de execução
#chmod +x /etc/init.d/rc.firewall.sh
depois execute para iniciar junto com o sistema.
#update-rc.d rc.firewall defaults

PS: isso procede no Debian e derivados.

danniel-lara
(usa Fedora)

Enviado em 05/03/2012 - 10:08h

tenho um firewall ubuntu e funciona a mesma coisa que no debian

Atento
(usa Debian)

Enviado em 05/03/2012 - 16:15h

Boa tarde,
primeiramente agradeço a atenção.

Gostaria de saber o que as respostas de vocês influenciam no meu problema?

O meu script está na pasta /etc/init.d/iptables e já coloquei permissão de execução.

Já ativei a inicialização do script junto com o sistema usando o comando: update-rc.d iptables defaults

Agora, não vejo motivo algum para mudar essa minha sequencia, visto que a única diferença para o que vocês comentaram é o nome do arquivo que contém o script.

O problema não é a inicialização ou finalização do script de firewall, mas sim algo relacionado com alguma porta do portmap, pois se eu alterar a política da cadeita INPUT para ACCEPT, o desligamento ocorre sem problemas.