larsks's questions

我使用以下命令installerconfig自动安装 FreeBSD (13.2-RELEASE)：

export PARTITIONS=DEFAULT
export DISTRIBUTIONS="kernel.txz base.txz"
export HOSTNAME=freebsd
export BSDINSTALL_DISTSITE="https://download.freebsd.org/releases/amd64/13.2-RELEASE"
export INTERFACES=vtnet0
export nonInteractive="YES"

dhclient $INTERFACES

#!/bin/sh
sysrc ifconfig_DEFAULT=DHCP
sysrc sshd_enable=YES

这总是会导致校验和不匹配（“kernel.txz 的校验和不匹配...”）。/usr/freebsd-dist/MANIFEST我已经验证安装程序映像上的校验和确实与$BSDINSTALL_DISTSITE.

关于我在这里缺少什么有什么想法吗？

我有一个在 Fedora 31 主机上运行的 CentOS 8 来宾。来宾连接到桥接网络virbr0，并且具有地址192.168.122.217。我可以在该地址通过 ssh 登录来宾。

如果我在监听端口 80 的客户机上启动服务，则从主机到客户机的所有连接都会失败，如下所示：

$ curl 192.168.122.217
curl: (7) Failed to connect to 192.168.122.217 port 80: No route to host

该服务必须0.0.0.0：

guest# ss -tln
State    Recv-Q    Send-Q        Local Address:Port        Peer Address:Port

LISTEN   0         128                 0.0.0.0:22               0.0.0.0:*
LISTEN   0         5                   0.0.0.0:80               0.0.0.0:*
LISTEN   0         128                    [::]:22                  [::]:*

使用tcpdump（在virbr0主机上或在eth0来宾上），我看到来宾似乎正在回复 ICMP“管理员禁止”消息。

19:09:25.698175 IP 192.168.122.1.33472 > 192.168.122.217.http: Flags [S], seq 959177236, win 64240, options [mss 1460,sackOK,TS val 3103862500 ecr 0,nop,wscale 7], length 0
19:09:25.698586 IP 192.168.122.217 > 192.168.122.1: ICMP host 192.168.122.217 unreachable - admin prohibited filter, length 68

INPUT来宾中的链上没有防火墙规则：

guest# iptables -S INPUT
-P INPUT ACCEPT

来宾中的路由表看起来非常正常：

guest# ip route
default via 192.168.122.1 dev eth0 proto dhcp metric 100
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.217 metric 100

SELinux 处于许可模式：

guest# getenforce
Permissive

如果我在端口 22 上停止sshd并启动我的服务，一切都会按预期工作。

是什么导致这些连接失败？

万一有人要求，iptables-save客人的完整输出是：

*filter
:INPUT ACCEPT [327:69520]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [285:37235]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
*security
:INPUT ACCEPT [280:55468]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [285:37235]
COMMIT
*raw
:PREROUTING ACCEPT [348:73125]
:OUTPUT ACCEPT [285:37235]
COMMIT
*mangle
:PREROUTING ACCEPT [348:73125]
:INPUT ACCEPT [327:69520]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [285:37235]
:POSTROUTING ACCEPT [285:37235]
COMMIT
*nat
:PREROUTING ACCEPT [78:18257]
:INPUT ACCEPT [10:600]
:POSTROUTING ACCEPT [111:8182]
:OUTPUT ACCEPT [111:8182]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A DOCKER -i docker0 -j RETURN
COMMIT

我用（CentOS/RHEL）虚拟机做了很多本地开发工作。而不是用默认的root密码配置所有东西——如果暴露在网络上，可能会出现问题——我想将它们配置为只允许在串行控制台上进行无密码root登录。

我的第一次尝试是使用以下选项简单地用命令行替换默认ExecStart命令 ：[email protected]--autologin

ExecStart=-/sbin/agetty -o '-p -- \\u' --keep-baud 115200,38400,9600 --noclear --autologin root ttyS0 $TERM

虽然这会跳过login:提示，但仍会提示输入 root 密码。这似乎是loginLinux下程序的限制。

我还尝试用 shell 替换默认登录程序，如下所示：

ExecStart=-/sbin/agetty -o '-p -- \\u' --keep-baud 115200,38400,9600 --noclear -n -l /bin/bash ttyS0 $TERM

但这与 selinux 相冲突：当我得到一个bashshell 时，它无法访问任何东西：

bash: /root/.bashrc: Permission denied
# ls /etc/systemd
ls: cannot open directory '/etc/systemd': Permission denied

在网络的其他地方，人们建议只从 中删除密码哈希/etc/{password,shadow}，但这当然会导致一系列不同的问题：现在任何用户都可以su -没有密码。

关于如何使其正常工作的任何想法？

我有一个我正在使用的 Fedora 31 系统iptables-nft。我需要这个，因为仍然有一堆软件需要传统的iptables命令行工具。这意味着我的 nftables 配置具有相应的一组表来匹配旧配置：

table ip filter
table ip nat
table ip6 filter
table ip mangle
table ip6 nat
table ip6 mangle

我使用了一个容器化的 VPN 服务，在 nftables 之前，它可以通过在 vpn 出现时运行类似的东西来在我的主以太网接口上启用伪装：

iptables -t nat -A POSTROUTING -s 172.16.254.0/24 -o eth0 -j MASQUERADE

自从升级到 Fedora 31 和iptables-nft之后，这不再有效。容器（运行 alpine）没有iptables-nft兼容性包装器，但它本身有nft命令。

我不能使用nftcli 向现有表添加规则，因为这会破坏iptables-nft. 但我可以创建新表。我希望我可以应用这样的配置：

table ip vpn {
    chain postrouting {
        type nat hook postrouting priority filter; policy accept;
        ip saddr 172.16.254.0/24 oifname "eth0" counter masquerade
    }

    chain forward {
        type filter hook forward priority filter; policy accept;
        ip saddr 172.16.254.0/24 counter accept
    }
}

...但这似乎没有任何影响。通过将此表中的链设置为优先级 0，我希望它们能在旧表之前nat匹配，但事实并非如此。

有没有办法使这项工作？