# [SOLVED] Arno's Iptables Firewall does not start at boot

## tps

Dear all,

I am very happy with gentoo and Arno's Iptables Firewall.

The other day I booted my host and I noticed that Arno's Iptables Firewall did not start. Here is what I have in /var/log/messages:

```
Aug 28 07:49:53 p600 syslog-ng[2503]: syslog-ng shutting down; version='3.1.1'

Aug 28 07:51:12 p600 syslog-ng[2480]: syslog-ng starting up; version='3.1.1'

Aug 28 07:51:14 p600 firewall: ** Starting Arno's Iptables Firewall v1.9.2d **

Aug 28 07:51:51 p600 firewall: ** WARNING: Not all firewall rules are applied **

Aug 28 07:51:51 p600 rc-scripts: WARNING: Failed to load Firewall

Aug 28 07:51:55 p600 dhcpcd[8287]: eth0: dhcpcd 4.0.15 starting

Aug 28 07:51:55 p600 dhcpcd[8287]: eth0: broadcasting for a lease
```

I have this line in /etc/portage/package.keywords to let emerge install Arno's Iptables Firewall. I hope that is not too much of a risk:

```
net-firewall/arno-iptables-firewall ~x86
```

Everything is ok if I start Arno's Iptables Firewall manually:

```
p600 ~ # /etc/init.d/arno-iptables-firewall start

.

.

Aug 28 10:21:25 All firewall rules applied.                               [ ok ]

p600 ~ #
```

I do get warnings in the output:

```
Sanity checks passed...OK

Checking/probing IPv4 Iptables modules:

/sbin/modprobe ip_tables: Module not found! Assuming compiled-in-kernel!

/sbin/modprobe ip_conntrack: Module not found! Assuming compiled-in-kernel!

/sbin/modprobe ip_conntrack_ftp: Module not found! Assuming compiled-in-kernel!

Loaded kernel module ipt_conntrack.

Loaded kernel module ipt_limit.
```

I hope that is ok.

Perhaps the same warnings count for the warnings I have in the /var/log/messges show above?

What can I do to make Arno's Iptables Firewall start at boot?

Thanks

Thomas SLast edited by tps on Sun Aug 29, 2010 9:19 pm; edited 1 time in total

----------

## Hu

Are those features compiled into the kernel?  Do the rules actually load or is the script mistaken when it says it was successful?

----------

## tps

Hi Hu,

Thanks for your hint.

I believe these features are compiled into the kernel.

To test a bit further I recompiled as much netfilter stuff as possible as modules and now I only have one warning when I manually start Arno's Iptables Firewall:

```
p600 tps # /etc/init.d/arno-iptables-firewall start

 * Loading Firewall... ...

Arno's Iptables Firewall Script v1.9.2d

-------------------------------------------------------------------------------

Sanity checks passed...OK

Checking/probing IPv4 Iptables modules:

/sbin/modprobe ip_tables: Module not found! Assuming compiled-in-kernel!

Loaded kernel module ip_conntrack.

Loaded kernel module ip_conntrack_ftp.
```

I believe the rules do load. Here is output from iptables –L right after boot:

```
Chain INPUT (policy DROP)

target     prot opt source               destination         

fail2ban-COURIER  tcp  --  anywhere             anywhere            tcp dpt:smtp 

fail2ban-VSFTPD  tcp  --  anywhere             anywhere            tcp dpt:ftp 

fail2ban-SSH  tcp  --  anywhere             anywhere            tcp dpt:ssh 

BASE_INPUT_CHAIN  all  --  anywhere             anywhere            

INPUT_CHAIN  all  --  anywhere             anywhere            

HOST_BLOCK  all  --  anywhere             anywhere            

SPOOF_CHK  all  --  anywhere             anywhere            

VALID_CHK  all  --  anywhere             anywhere            

EXT_INPUT_CHAIN !icmp --  anywhere             anywhere            state NEW 

EXT_INPUT_CHAIN  icmp --  anywhere             anywhere            state NEW limit: avg 60/sec burst 100 

EXT_ICMP_FLOOD_CHAIN  icmp --  anywhere             anywhere            state NEW 

INT_INPUT_CHAIN  all  --  anywhere             anywhere            

POST_INPUT_CHAIN  all  --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            limit: avg 1/sec burst 5 LOG level info prefix `AIF:Dropped INPUT packet: ' 

DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)

target     prot opt source               destination         

BASE_FORWARD_CHAIN  all  --  anywhere             anywhere            

TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

FORWARD_CHAIN  all  --  anywhere             anywhere            

HOST_BLOCK  all  --  anywhere             anywhere            

EXT_FORWARD_IN_CHAIN  all  --  anywhere             anywhere            

EXT_FORWARD_OUT_CHAIN  all  --  anywhere             anywhere            

INT_FORWARD_IN_CHAIN  all  --  anywhere             anywhere            

INT_FORWARD_OUT_CHAIN  all  --  anywhere             anywhere            

SPOOF_CHK  all  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

LAN_INET_FORWARD_CHAIN  all  --  anywhere             anywhere            

ACCEPT     tcp  --  anywhere             sempron.netmaster.dk tcp dpt:3700 

ACCEPT     tcp  --  anywhere             sempron.netmaster.dk tcp dpt:3701 

ACCEPT     tcp  --  anywhere             sempron.netmaster.dk tcp dpt:5800 

ACCEPT     tcp  --  anywhere             sempron.netmaster.dk tcp dpt:5900 

ACCEPT     tcp  --  anywhere             192.168.1.20        tcp dpt:ms-wbt-server 

POST_FORWARD_CHAIN  all  --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            limit: avg 1/min burst 3 LOG level info prefix `AIF:Dropped FORWARD packet: ' 

DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination         

BASE_OUTPUT_CHAIN  all  --  anywhere             anywhere            

TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

OUTPUT_CHAIN  all  --  anywhere             anywhere            

HOST_BLOCK  all  --  anywhere             anywhere            

LOG        all  -f  anywhere             anywhere            limit: avg 3/min burst 5 LOG level info prefix `AIF:Fragment packet: ' 

DROP       all  -f  anywhere             anywhere            

EXT_OUTPUT_CHAIN  all  --  anywhere             anywhere            

INT_OUTPUT_CHAIN  all  --  anywhere             anywhere            

POST_OUTPUT_CHAIN  all  --  anywhere             anywhere            

Chain BASE_FORWARD_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED 

ACCEPT     tcp  --  anywhere             anywhere            state RELATED tcp dpts:1024:65535 

ACCEPT     udp  --  anywhere             anywhere            state RELATED udp dpts:1024:65535 

ACCEPT     icmp --  anywhere             anywhere            state RELATED 

ACCEPT     all  --  anywhere             anywhere            

Chain BASE_INPUT_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED 

ACCEPT     tcp  --  anywhere             anywhere            state RELATED tcp dpts:1024:65535 

ACCEPT     udp  --  anywhere             anywhere            state RELATED udp dpts:1024:65535 

ACCEPT     icmp --  anywhere             anywhere            state RELATED 

ACCEPT     all  --  anywhere             anywhere            

Chain BASE_OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED 

ACCEPT     all  --  anywhere             anywhere            

Chain DMZ_FORWARD_IN_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_FORWARD_OUT_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_INET_FORWARD_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_INPUT_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_LAN_FORWARD_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_OUTPUT_CHAIN (0 references)

target     prot opt source               destination         

Chain EXT_FORWARD_IN_CHAIN (1 references)

target     prot opt source               destination         

VALID_CHK  all  --  anywhere             anywhere            

Chain EXT_FORWARD_OUT_CHAIN (1 references)

target     prot opt source               destination         

Chain EXT_ICMP_FLOOD_CHAIN (1 references)

target     prot opt source               destination         

LOG        icmp --  anywhere             anywhere            icmp destination-unreachable limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-unreachable flood: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp destination-unreachable 

LOG        icmp --  anywhere             anywhere            icmp time-exceeded limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-time-exceeded fld: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp time-exceeded 

LOG        icmp --  anywhere             anywhere            icmp parameter-problem limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-param-problem fld: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp parameter-problem 

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-request(ping) fld: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-request 

LOG        icmp --  anywhere             anywhere            icmp echo-reply limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-reply(pong) flood: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-reply 

LOG        icmp --  anywhere             anywhere            icmp source-quench limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-source-quench fld: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp source-quench 

LOG        icmp --  anywhere             anywhere            limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP(other) flood: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            

Chain EXT_INPUT_CHAIN (2 references)

target     prot opt source               destination         

LOG        tcp  --  anywhere             anywhere            tcp dpt:0 limit: avg 6/hour burst 1 LOG level info prefix `AIF:Port 0 OS fingerprint: ' 

LOG        udp  --  anywhere             anywhere            udp dpt:0 limit: avg 6/hour burst 1 LOG level info prefix `AIF:Port 0 OS fingerprint: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp dpt:0 

POST_INPUT_DROP_CHAIN  udp  --  anywhere             anywhere            udp dpt:0 

LOG        tcp  --  anywhere             anywhere            tcp spt:0 limit: avg 6/hour burst 5 LOG level info prefix `AIF:TCP source port 0: ' 

LOG        udp  --  anywhere             anywhere            udp spt:0 limit: avg 6/hour burst 5 LOG level info prefix `AIF:UDP source port 0: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp spt:0 

POST_INPUT_DROP_CHAIN  udp  --  anywhere             anywhere            udp spt:0 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:urd 

ACCEPT     udp  --  anywhere             anywhere            udp dpt:ssh 

ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 20/sec burst 100 

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 3/min burst 1 LOG level info prefix `AIF:ICMP-request: ' 

LOG        icmp --  anywhere             anywhere            icmp destination-unreachable limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-unreachable: ' 

LOG        icmp --  anywhere             anywhere            icmp time-exceeded limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-time-exceeded: ' 

LOG        icmp --  anywhere             anywhere            icmp parameter-problem limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-param.-problem: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp destination-unreachable 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp time-exceeded 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp parameter-problem 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-request 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-reply 

LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth scan (UNPRIV)?: ' 

LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth scan (PRIV)?: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN 

LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:PRIV connect attempt: ' 

LOG        udp  --  anywhere             anywhere            udp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV connect attempt: ' 

LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV connect attempt: ' 

LOG        udp  --  anywhere             anywhere            udp dpts:1024:65535 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV connect attempt: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            

POST_INPUT_DROP_CHAIN  udp  --  anywhere             anywhere            

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            limit: avg 1/min burst 5 LOG level info prefix `AIF:Connect attempt: ' 

POST_INPUT_DROP_CHAIN  all  --  anywhere             anywhere            

Chain EXT_OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            

Chain FORWARD_CHAIN (1 references)

target     prot opt source               destination         

Chain HOST_BLOCK (3 references)

target     prot opt source               destination         

Chain INET_DMZ_FORWARD_CHAIN (0 references)

target     prot opt source               destination         

Chain INPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain INT_FORWARD_IN_CHAIN (1 references)

target     prot opt source               destination         

Chain INT_FORWARD_OUT_CHAIN (1 references)

target     prot opt source               destination         

Chain INT_INPUT_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 20/sec burst 100 

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 3/min burst 1 LOG level info prefix `AIF:ICMP-request: ' 

DROP       icmp --  anywhere             anywhere            icmp echo-request 

ACCEPT     all  --  anywhere             anywhere            

Chain INT_OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain LAN_INET_FORWARD_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 20/sec burst 100 

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 3/min burst 1 LOG level info prefix `AIF:ICMP-request: ' 

DROP       icmp --  anywhere             anywhere            icmp echo-request 

ACCEPT     tcp  --  anywhere             anywhere            

ACCEPT     udp  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain POST_FORWARD_CHAIN (1 references)

target     prot opt source               destination         

Chain POST_INPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain POST_INPUT_DROP_CHAIN (35 references)

target     prot opt source               destination         

DROP       all  --  anywhere             anywhere            

Chain POST_OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain RESERVED_NET_CHK (0 references)

target     prot opt source               destination         

LOG        all  --  10.0.0.0/8           anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:Class A address: ' 

LOG        all  --  172.16.0.0/12        anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:Class B address: ' 

LOG        all  --  192.168.0.0/16       anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:Class C address: ' 

LOG        all  --  link-local/16        anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:Class M$ address: ' 

POST_INPUT_DROP_CHAIN  all  --  10.0.0.0/8           anywhere            

POST_INPUT_DROP_CHAIN  all  --  172.16.0.0/12        anywhere            

POST_INPUT_DROP_CHAIN  all  --  192.168.0.0/16       anywhere            

POST_INPUT_DROP_CHAIN  all  --  link-local/16        anywhere            

Chain SPOOF_CHK (2 references)

target     prot opt source               destination         

RETURN     all  --  anywhere             anywhere            

Chain VALID_CHK (2 references)

target     prot opt source               destination         

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth XMAS scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth XMAS-PSH scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth XMAS-ALL scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth FIN scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth SYN/RST scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth SYN/FIN scan?: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth Null scan: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 

LOG        tcp  --  anywhere             anywhere            tcp option=64 limit: avg 3/min burst 1 LOG level info prefix `AIF:Bad TCP flag(64): ' 

LOG        tcp  --  anywhere             anywhere            tcp option=128 limit: avg 3/min burst 1 LOG level info prefix `AIF:Bad TCP flag(128): ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp option=64 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp option=128 

POST_INPUT_DROP_CHAIN  all  --  anywhere             anywhere            state INVALID 

LOG        all  -f  anywhere             anywhere            limit: avg 3/min burst 1 LOG level warning prefix `AIF:Fragment packet: ' 

DROP       all  -f  anywhere             anywhere            

Chain fail2ban-COURIER (1 references)

target     prot opt source               destination         

RETURN     all  --  anywhere             anywhere            

Chain fail2ban-SSH (1 references)

target     prot opt source               destination         

RETURN     all  --  anywhere             anywhere            

Chain fail2ban-VSFTPD (1 references)

target     prot opt source               destination         

RETURN     all  --  anywhere             anywhere            
```

Here are my rules after manual start of Arno's Iptables Firewall:

```
Chain INPUT (policy DROP)

target     prot opt source               destination         

BASE_INPUT_CHAIN  all  --  anywhere             anywhere            

INPUT_CHAIN  all  --  anywhere             anywhere            

HOST_BLOCK  all  --  anywhere             anywhere            

SPOOF_CHK  all  --  anywhere             anywhere            

VALID_CHK  all  --  anywhere             anywhere            

EXT_INPUT_CHAIN !icmp --  anywhere             anywhere            state NEW 

EXT_INPUT_CHAIN  icmp --  anywhere             anywhere            state NEW limit: avg 60/sec burst 100 

EXT_ICMP_FLOOD_CHAIN  icmp --  anywhere             anywhere            state NEW 

INT_INPUT_CHAIN  all  --  anywhere             anywhere            

POST_INPUT_CHAIN  all  --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            limit: avg 1/sec burst 5 LOG level info prefix `AIF:Dropped INPUT packet: ' 

DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)

target     prot opt source               destination         

BASE_FORWARD_CHAIN  all  --  anywhere             anywhere            

TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

FORWARD_CHAIN  all  --  anywhere             anywhere            

HOST_BLOCK  all  --  anywhere             anywhere            

EXT_FORWARD_IN_CHAIN  all  --  anywhere             anywhere            

EXT_FORWARD_OUT_CHAIN  all  --  anywhere             anywhere            

INT_FORWARD_IN_CHAIN  all  --  anywhere             anywhere            

INT_FORWARD_OUT_CHAIN  all  --  anywhere             anywhere            

SPOOF_CHK  all  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

LAN_INET_FORWARD_CHAIN  all  --  anywhere             anywhere            

ACCEPT     tcp  --  anywhere             sempron.netmaster.dk tcp dpt:3700 

ACCEPT     tcp  --  anywhere             sempron.netmaster.dk tcp dpt:3701 

ACCEPT     tcp  --  anywhere             sempron.netmaster.dk tcp dpt:5800 

ACCEPT     tcp  --  anywhere             sempron.netmaster.dk tcp dpt:5900 

ACCEPT     tcp  --  anywhere             192.168.1.20        tcp dpt:ms-wbt-server 

POST_FORWARD_CHAIN  all  --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            limit: avg 1/min burst 3 LOG level info prefix `AIF:Dropped FORWARD packet: ' 

DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination         

BASE_OUTPUT_CHAIN  all  --  anywhere             anywhere            

TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

OUTPUT_CHAIN  all  --  anywhere             anywhere            

HOST_BLOCK  all  --  anywhere             anywhere            

LOG        all  -f  anywhere             anywhere            limit: avg 3/min burst 5 LOG level info prefix `AIF:Fragment packet: ' 

DROP       all  -f  anywhere             anywhere            

EXT_OUTPUT_CHAIN  all  --  anywhere             anywhere            

INT_OUTPUT_CHAIN  all  --  anywhere             anywhere            

POST_OUTPUT_CHAIN  all  --  anywhere             anywhere            

Chain BASE_FORWARD_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED 

ACCEPT     tcp  --  anywhere             anywhere            state RELATED tcp dpts:1024:65535 

ACCEPT     udp  --  anywhere             anywhere            state RELATED udp dpts:1024:65535 

ACCEPT     icmp --  anywhere             anywhere            state RELATED 

ACCEPT     all  --  anywhere             anywhere            

Chain BASE_INPUT_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED 

ACCEPT     tcp  --  anywhere             anywhere            state RELATED tcp dpts:1024:65535 

ACCEPT     udp  --  anywhere             anywhere            state RELATED udp dpts:1024:65535 

ACCEPT     icmp --  anywhere             anywhere            state RELATED 

ACCEPT     all  --  anywhere             anywhere            

Chain BASE_OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED 

ACCEPT     all  --  anywhere             anywhere            

Chain DMZ_FORWARD_IN_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_FORWARD_OUT_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_INET_FORWARD_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_INPUT_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_LAN_FORWARD_CHAIN (0 references)

target     prot opt source               destination         

Chain DMZ_OUTPUT_CHAIN (0 references)

target     prot opt source               destination         

Chain EXT_FORWARD_IN_CHAIN (1 references)

target     prot opt source               destination         

VALID_CHK  all  --  anywhere             anywhere            

Chain EXT_FORWARD_OUT_CHAIN (1 references)

target     prot opt source               destination         

Chain EXT_ICMP_FLOOD_CHAIN (1 references)

target     prot opt source               destination         

LOG        icmp --  anywhere             anywhere            icmp destination-unreachable limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-unreachable flood: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp destination-unreachable 

LOG        icmp --  anywhere             anywhere            icmp time-exceeded limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-time-exceeded fld: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp time-exceeded 

LOG        icmp --  anywhere             anywhere            icmp parameter-problem limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-param-problem fld: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp parameter-problem 

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-request(ping) fld: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-request 

LOG        icmp --  anywhere             anywhere            icmp echo-reply limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-reply(pong) flood: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-reply 

LOG        icmp --  anywhere             anywhere            icmp source-quench limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-source-quench fld: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp source-quench 

LOG        icmp --  anywhere             anywhere            limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP(other) flood: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            

Chain EXT_INPUT_CHAIN (2 references)

target     prot opt source               destination         

LOG        tcp  --  anywhere             anywhere            tcp dpt:0 limit: avg 6/hour burst 1 LOG level info prefix `AIF:Port 0 OS fingerprint: ' 

LOG        udp  --  anywhere             anywhere            udp dpt:0 limit: avg 6/hour burst 1 LOG level info prefix `AIF:Port 0 OS fingerprint: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp dpt:0 

POST_INPUT_DROP_CHAIN  udp  --  anywhere             anywhere            udp dpt:0 

LOG        tcp  --  anywhere             anywhere            tcp spt:0 limit: avg 6/hour burst 5 LOG level info prefix `AIF:TCP source port 0: ' 

LOG        udp  --  anywhere             anywhere            udp spt:0 limit: avg 6/hour burst 5 LOG level info prefix `AIF:UDP source port 0: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp spt:0 

POST_INPUT_DROP_CHAIN  udp  --  anywhere             anywhere            udp spt:0 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:urd 

ACCEPT     udp  --  anywhere             anywhere            udp dpt:ssh 

ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 20/sec burst 100 

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 3/min burst 1 LOG level info prefix `AIF:ICMP-request: ' 

LOG        icmp --  anywhere             anywhere            icmp destination-unreachable limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-unreachable: ' 

LOG        icmp --  anywhere             anywhere            icmp time-exceeded limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-time-exceeded: ' 

LOG        icmp --  anywhere             anywhere            icmp parameter-problem limit: avg 12/hour burst 1 LOG level info prefix `AIF:ICMP-param.-problem: ' 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp destination-unreachable 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp time-exceeded 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp parameter-problem 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-request 

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            icmp echo-reply 

LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth scan (UNPRIV)?: ' 

LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth scan (PRIV)?: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN 

LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:PRIV connect attempt: ' 

LOG        udp  --  anywhere             anywhere            udp dpts:0:1023 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV connect attempt: ' 

LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV connect attempt: ' 

LOG        udp  --  anywhere             anywhere            udp dpts:1024:65535 limit: avg 6/min burst 2 LOG level info prefix `AIF:UNPRIV connect attempt: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            

POST_INPUT_DROP_CHAIN  udp  --  anywhere             anywhere            

POST_INPUT_DROP_CHAIN  icmp --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            limit: avg 1/min burst 5 LOG level info prefix `AIF:Connect attempt: ' 

POST_INPUT_DROP_CHAIN  all  --  anywhere             anywhere            

Chain EXT_OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            

Chain FORWARD_CHAIN (1 references)

target     prot opt source               destination         

Chain HOST_BLOCK (3 references)

target     prot opt source               destination         

Chain INET_DMZ_FORWARD_CHAIN (0 references)

target     prot opt source               destination         

Chain INPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain INT_FORWARD_IN_CHAIN (1 references)

target     prot opt source               destination         

Chain INT_FORWARD_OUT_CHAIN (1 references)

target     prot opt source               destination         

Chain INT_INPUT_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 20/sec burst 100 

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 3/min burst 1 LOG level info prefix `AIF:ICMP-request: ' 

DROP       icmp --  anywhere             anywhere            icmp echo-request 

ACCEPT     all  --  anywhere             anywhere            

Chain INT_OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain LAN_INET_FORWARD_CHAIN (1 references)

target     prot opt source               destination         

ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 20/sec burst 100 

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 3/min burst 1 LOG level info prefix `AIF:ICMP-request: ' 

DROP       icmp --  anywhere             anywhere            icmp echo-request 

ACCEPT     tcp  --  anywhere             anywhere            

ACCEPT     udp  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain POST_FORWARD_CHAIN (1 references)

target     prot opt source               destination         

Chain POST_INPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain POST_INPUT_DROP_CHAIN (36 references)

target     prot opt source               destination         

DROP       all  --  anywhere             anywhere            

Chain POST_OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain RESERVED_NET_CHK (0 references)

target     prot opt source               destination         

LOG        all  --  10.0.0.0/8           anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:Class A address: ' 

LOG        all  --  172.16.0.0/12        anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:Class B address: ' 

LOG        all  --  192.168.0.0/16       anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:Class C address: ' 

LOG        all  --  link-local/16        anywhere            limit: avg 1/min burst 1 LOG level info prefix `AIF:Class M$ address: ' 

POST_INPUT_DROP_CHAIN  all  --  10.0.0.0/8           anywhere            

POST_INPUT_DROP_CHAIN  all  --  172.16.0.0/12        anywhere            

POST_INPUT_DROP_CHAIN  all  --  192.168.0.0/16       anywhere            

POST_INPUT_DROP_CHAIN  all  --  link-local/16        anywhere            

Chain SPOOF_CHK (2 references)

target     prot opt source               destination         

RETURN     all  --  192.168.1.0/24       anywhere            

LOG        all  --  192.168.1.0/24       anywhere            limit: avg 3/min burst 5 LOG level info prefix `AIF:Spoofed packet: ' 

POST_INPUT_DROP_CHAIN  all  --  192.168.1.0/24       anywhere            

RETURN     all  --  anywhere             anywhere            

Chain VALID_CHK (2 references)

target     prot opt source               destination         

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth XMAS scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth XMAS-PSH scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth XMAS-ALL scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth FIN scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth SYN/RST scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth SYN/FIN scan?: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE limit: avg 3/min burst 5 LOG level info prefix `AIF:Stealth Null scan: ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 

LOG        tcp  --  anywhere             anywhere            tcp option=64 limit: avg 3/min burst 1 LOG level info prefix `AIF:Bad TCP flag(64): ' 

LOG        tcp  --  anywhere             anywhere            tcp option=128 limit: avg 3/min burst 1 LOG level info prefix `AIF:Bad TCP flag(128): ' 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp option=64 

POST_INPUT_DROP_CHAIN  tcp  --  anywhere             anywhere            tcp option=128 

POST_INPUT_DROP_CHAIN  all  --  anywhere             anywhere            state INVALID 

LOG        all  -f  anywhere             anywhere            limit: avg 3/min burst 1 LOG level warning prefix `AIF:Fragment packet: ' 

DROP       all  -f  anywhere             anywhere
```

What I see is that right after boot masquerading does not work. I can not browse the internet from a host behind my firewall host. My firewall host acts as a router between the host that can not browse and the internet.

After I manually start Arno's Iptables Firewall after boot the host behind the firewall host is again able to browser the internet.

Your help is appreciated!

Thanks

----------

## Hu

Since you act as a NAT device, you need to enable IPv4 forwarding.  The Arno script may be doing that for you, but you can also do it by hand.  Either echo 1 >/proc/sys/net/ipv4/ip_forward or set net.ipv4.ip_forward=1 in /etc/sysctl.conf.

----------

## tps

Hi Hu

Thanks a lot.

You made me check Arno's Iptables Firewall config file, /etc/arno-iptables-firewall/firewall.conf, once again and it turns out that I used an older config file from a previous version of Arno's Iptables Firewall. Using the correct config file adjusted to my needs made Arno's Iptables Firewall start at boot with NAT working just fine.

Thanks a lot

Thomas S

----------

