The ongoing Firewall Saga! (Victims - I mean volunteers - wanted!)

That's strange. Try it without the logging. You may need to type 'fg' and then push ^C to kill the current firewall process.

So just run php /var/www/html/admin/modules/firewall/hooks/firewall

This is what you should see, roughly:

[root@ipv6 firewall]# ps auxww | grep firew
root 31812 0.0 0.0 103244 844 pts/0 S+ 04:49 0:00 grep firew
[root@ipv6 firewall]# service iptables stop
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
[root@ipv6 firewall]# hooks/firewall
Starting firewall service
/sbin/iptables -N fpbxfirewall
/sbin/ip6tables -N fpbxfirewall
ip6tables: Chain already exists.
/sbin/iptables -I INPUT -j fpbxfirewall
/sbin/ip6tables -I INPUT -j fpbxfirewall
/sbin/ip6tables -A fpbxfirewall -i lo -j ACCEPT
/sbin/iptables -A fpbxfirewall -i lo -j ACCEPT
/sbin/ip6tables -A fpbxfirewall -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A fpbxfirewall -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -A fpbxfirewall -p udp --sport 1:1024 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A fpbxfirewall -p udp --sport 1:1024 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A fpbxfirewall -p icmp -j ACCEPT
/sbin/ip6tables -A fpbxfirewall -p ipv6-icmp -j ACCEPT
/sbin/iptables -A fpbxfirewall -d 255.255.255.255/32 -j ACCEPT
/sbin/ip6tables -A fpbxfirewall -m pkttype --pkt-type multicast -j ACCEPT
/sbin/iptables -A fpbxfirewall -m pkttype --pkt-type multicast -j ACCEPT
/sbin/ip6tables -A fpbxfirewall -p udp -m udp --dport 67:68 --sport 67:68 -j ACCEPT
/sbin/iptables -A fpbxfirewall -p udp -m udp --dport 67:68 --sport 67:68 -j ACCEPT
/sbin/ip6tables -A fpbxfirewall -p tcp -m tcp --dport 22 -j ACCEPT
/sbin/iptables -A fpbxfirewall -p tcp -m tcp --dport 22 -j ACCEPT
/sbin/iptables -N fpbxsignalling
/sbin/ip6tables -N fpbxsignalling
ip6tables: Chain already exists.
/sbin/ip6tables -A fpbxfirewall -j fpbxsignalling
/sbin/iptables -A fpbxfirewall -j fpbxsignalling
/sbin/iptables -N fpbxsmarthosts
/sbin/ip6tables -N fpbxsmarthosts
ip6tables: Chain already exists.
/sbin/ip6tables -A fpbxfirewall -j fpbxsmarthosts
/sbin/iptables -A fpbxfirewall -j fpbxsmarthosts
/sbin/iptables -N fpbxregistrations
/sbin/ip6tables -N fpbxregistrations
ip6tables: Chain already exists.
/sbin/ip6tables -A fpbxfirewall -j fpbxregistrations
/sbin/iptables -A fpbxfirewall -j fpbxregistrations
/sbin/iptables -N fpbxnets
/sbin/ip6tables -N fpbxnets
ip6tables: Chain already exists.
/sbin/ip6tables -A fpbxfirewall -j fpbxnets
/sbin/iptables -A fpbxfirewall -j fpbxnets
/sbin/iptables -N fpbxinterfaces
/sbin/ip6tables -N fpbxinterfaces
ip6tables: Chain already exists.
/sbin/ip6tables -A fpbxfirewall -j fpbxinterfaces
/sbin/iptables -A fpbxfirewall -j fpbxinterfaces
/sbin/iptables -N fpbxrfw
/sbin/ip6tables -N fpbxrfw
ip6tables: Chain already exists.
/sbin/ip6tables -A fpbxfirewall -m mark --mark 0x2/0x2 -j fpbxrfw
/sbin/iptables -A fpbxfirewall -m mark --mark 0x2/0x2 -j fpbxrfw
/sbin/iptables -N fpbxlogdrop
/sbin/ip6tables -N fpbxlogdrop
ip6tables: Chain already exists.
/sbin/ip6tables -A fpbxfirewall -j fpbxlogdrop
/sbin/iptables -A fpbxfirewall -j fpbxlogdrop
/sbin/iptables -N zone-trusted
/sbin/ip6tables -N zone-trusted
ip6tables: Chain already exists.
/sbin/ip6tables -A zone-trusted -j ACCEPT
/sbin/iptables -A zone-trusted -j ACCEPT
/sbin/ip6tables -A fpbxrfw -m recent --rcheck --seconds 60 --hitcount 11 --name SIGNALLING --rsource -j fpbxlogdrop
/sbin/iptables -A fpbxrfw -m recent --rcheck --seconds 60 --hitcount 11 --name SIGNALLING --rsource -j fpbxlogdrop
/sbin/ip6tables -A fpbxrfw -m recent --set --name SIGNALLING --rsource
/sbin/iptables -A fpbxrfw -m recent --set --name SIGNALLING --rsource
/sbin/ip6tables -A fpbxrfw -m recent --set --name REPEAT --rsource
/sbin/iptables -A fpbxrfw -m recent --set --name REPEAT --rsource
/sbin/ip6tables -A fpbxrfw -m recent --rcheck --seconds 86400 --hitcount 100 --name REPEAT --rsource -j fpbxlogdrop
/sbin/iptables -A fpbxrfw -m recent --rcheck --seconds 86400 --hitcount 100 --name REPEAT --rsource -j fpbxlogdrop
/sbin/ip6tables -A fpbxrfw -j ACCEPT
/sbin/iptables -A fpbxrfw -j ACCEPT
/sbin/ip6tables -A fpbxlogdrop -j LOG --log-prefix 'logdrop: '
/sbin/iptables -A fpbxlogdrop -j LOG --log-prefix 'logdrop: '
/sbin/ip6tables -A fpbxlogdrop -j REJECT
/sbin/iptables -A fpbxlogdrop -j REJECT
/sbin/iptables -N fpbxknownreg
/sbin/ip6tables -N fpbxknownreg
ip6tables: Chain already exists.
/sbin/ip6tables -A fpbxknownreg -m mark --mark 0x1/0x1 -j ACCEPT
/sbin/iptables -A fpbxknownreg -m mark --mark 0x1/0x1 -j ACCEPT
/sbin/iptables -N fpbxsvc-ucp
/sbin/ip6tables -N fpbxsvc-ucp
ip6tables: Chain already exists.
/sbin/ip6tables -A fpbxknownreg -j fpbxsvc-ucp
/sbin/iptables -A fpbxknownreg -j fpbxsvc-ucp
/sbin/ip6tables -D fpbxinterfaces 1
/sbin/ip6tables -A fpbxinterfaces -i eth0 -j zone-trusted
/sbin/iptables -A fpbxinterfaces -i eth0 -j zone-trusted
Looping
Starting update
/sbin/iptables -N fpbxsvc-ssh
/sbin/ip6tables -N fpbxsvc-ssh
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-ssh
/sbin/iptables -A fpbxsvc-ssh -p tcp -m tcp --dport 22 -j ACCEPT
/sbin/iptables -N zone-reject
/sbin/ip6tables -N zone-reject
ip6tables: Chain already exists.
/sbin/iptables -N zone-external
/sbin/ip6tables -N zone-external
ip6tables: Chain already exists.
/sbin/iptables -N zone-other
/sbin/ip6tables -N zone-other
ip6tables: Chain already exists.
/sbin/iptables -N zone-internal
/sbin/ip6tables -N zone-internal
ip6tables: Chain already exists.
/sbin/iptables -A zone-internal -j fpbxsvc-ssh
/sbin/iptables -N fpbxsvc-http
/sbin/ip6tables -N fpbxsvc-http
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-http
/sbin/iptables -A fpbxsvc-http -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A zone-internal -j fpbxsvc-http
/sbin/iptables -N fpbxsvc-https
/sbin/ip6tables -N fpbxsvc-https
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-https
/sbin/iptables -A fpbxsvc-https -p tcp -m tcp --dport 443 -j ACCEPT
/sbin/iptables -A zone-external -j fpbxsvc-https
/sbin/iptables -A zone-internal -j fpbxsvc-https
/sbin/iptables -F fpbxsvc-ucp
/sbin/iptables -A fpbxsvc-ucp -p tcp -m tcp --dport 81 -j ACCEPT
/sbin/iptables -A zone-external -j fpbxsvc-ucp
/sbin/iptables -A zone-other -j fpbxsvc-ucp
/sbin/iptables -A zone-internal -j fpbxsvc-ucp
/sbin/iptables -N fpbxsvc-pjsip
/sbin/ip6tables -N fpbxsvc-pjsip
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-pjsip
/sbin/iptables -A fpbxsvc-pjsip -p udp -m udp --dport 5060 -j ACCEPT
/sbin/iptables -A fpbxsvc-pjsip -p tcp -m tcp --dport 9876 -j ACCEPT
/sbin/iptables -A zone-other -j fpbxsvc-pjsip
/sbin/iptables -A zone-internal -j fpbxsvc-pjsip
/sbin/iptables -N fpbxsvc-chansip
/sbin/ip6tables -N fpbxsvc-chansip
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-chansip
/sbin/iptables -A fpbxsvc-chansip -p udp -m udp --dport 5061 -j ACCEPT
/sbin/iptables -A fpbxsvc-chansip -p tcp -m tcp --dport 9877 -j ACCEPT
/sbin/iptables -A zone-internal -j fpbxsvc-chansip
/sbin/iptables -N fpbxsvc-iax
/sbin/ip6tables -N fpbxsvc-iax
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-iax
/sbin/iptables -A fpbxsvc-iax -p udp -m udp --dport 4569 -j ACCEPT
/sbin/iptables -A zone-internal -j fpbxsvc-iax
/sbin/iptables -N fpbxsvc-webrtc
/sbin/ip6tables -N fpbxsvc-webrtc
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-webrtc
/sbin/iptables -A fpbxsvc-webrtc -p tcp -m tcp --dport 8088 -j ACCEPT
/sbin/iptables -A zone-reject -j fpbxsvc-webrtc
/sbin/iptables -N fpbxsvc-provis
/sbin/ip6tables -N fpbxsvc-provis
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-provis
/sbin/iptables -A fpbxsvc-provis -p tcp -m tcp --dport 84 -j ACCEPT
/sbin/iptables -A zone-other -j fpbxsvc-provis
/sbin/iptables -A zone-internal -j fpbxsvc-provis
/sbin/iptables -N fpbxsvc-restapps
/sbin/ip6tables -N fpbxsvc-restapps
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-restapps
/sbin/iptables -A fpbxsvc-restapps -p tcp -m tcp --dport 85 -j ACCEPT
/sbin/iptables -A zone-internal -j fpbxsvc-restapps
/sbin/iptables -N fpbxsvc-xmpp
/sbin/ip6tables -N fpbxsvc-xmpp
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-xmpp
/sbin/iptables -A fpbxsvc-xmpp -p tcp -m tcp --dport 5222 -j ACCEPT
/sbin/iptables -A zone-external -j fpbxsvc-xmpp
/sbin/iptables -A zone-other -j fpbxsvc-xmpp
/sbin/iptables -A zone-internal -j fpbxsvc-xmpp
/sbin/iptables -N fpbxsvc-ftp
/sbin/ip6tables -N fpbxsvc-ftp
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-ftp
/sbin/iptables -A fpbxsvc-ftp -p tcp -m tcp --dport 21 -j ACCEPT
/sbin/iptables -A zone-internal -j fpbxsvc-ftp
/sbin/iptables -N fpbxsvc-tftp
/sbin/ip6tables -N fpbxsvc-tftp
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-tftp
/sbin/iptables -A fpbxsvc-tftp -p udp -m udp --dport 69 -j ACCEPT
/sbin/iptables -A zone-internal -j fpbxsvc-tftp
/sbin/iptables -N fpbxsvc-nfs
/sbin/ip6tables -N fpbxsvc-nfs
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-nfs
/sbin/iptables -A fpbxsvc-nfs -p udp -m udp --dport 2049 -j ACCEPT
/sbin/iptables -A fpbxsvc-nfs -p tcp -m tcp --dport 2049 -j ACCEPT
/sbin/iptables -A fpbxsvc-nfs -p udp -m udp --dport 892 -j ACCEPT
/sbin/iptables -A fpbxsvc-nfs -p udp -m udp --dport 662 -j ACCEPT
/sbin/iptables -A fpbxsvc-nfs -p udp -m udp --dport 32769 -j ACCEPT
/sbin/iptables -A fpbxsvc-nfs -p tcp -m tcp --dport 892 -j ACCEPT
/sbin/iptables -A fpbxsvc-nfs -p tcp -m tcp --dport 662 -j ACCEPT
/sbin/iptables -A fpbxsvc-nfs -p tcp -m tcp --dport 32803 -j ACCEPT
/sbin/iptables -A zone-reject -j fpbxsvc-nfs
/sbin/iptables -N fpbxsvc-smb
/sbin/ip6tables -N fpbxsvc-smb
ip6tables: Chain already exists.
/sbin/iptables -F fpbxsvc-smb
/sbin/iptables -A fpbxsvc-smb -p udp -m udp --dport 137 -j ACCEPT
/sbin/iptables -A fpbxsvc-smb -p udp -m udp --dport 138 -j ACCEPT
/sbin/iptables -A fpbxsvc-smb -p tcp -m tcp --dport 139 -j ACCEPT
/sbin/iptables -A fpbxsvc-smb -p tcp -m tcp --dport 445 -j ACCEPT
/sbin/iptables -A zone-reject -j fpbxsvc-smb
/sbin/iptables -R fpbxfirewall 7 -p udp -m udp --dport 10000:20000 -j ACCEPT
/sbin/iptables -A fpbxsignalling -p udp -m udp --dport 5061 -j MARK --set-xmark 0x1/0x0
/sbin/iptables -A fpbxsignalling -p udp -m udp --dport 5060 -j MARK --set-xmark 0x3/0x0
/sbin/iptables -A fpbxsignalling -p udp -m udp --dport 4569 -j MARK --set-xmark 0x1/0x0
/sbin/iptables -A fpbxsmarthosts -s 202.43.66.5/32 -m mark --mark 0x1/0x1 -j ACCEPT
/sbin/iptables -A fpbxsmarthosts -s 202.43.66.1/32 -m mark --mark 0x1/0x1 -j ACCEPT
/sbin/iptables -A fpbxsmarthosts -s 202.43.66.2/32 -m mark --mark 0x1/0x1 -j ACCEPT
/sbin/iptables -A fpbxsmarthosts -s 202.43.66.4/32 -m mark --mark 0x1/0x1 -j ACCEPT
/sbin/iptables -A fpbxsmarthosts -s 202.43.66.3/32 -m mark --mark 0x1/0x1 -j ACCEPT
/sbin/iptables -A fpbxsmarthosts -s 192.168.15.10/32 -m mark --mark 0x1/0x1 -j ACCEPT
/sbin/iptables -A fpbxregistrations -s 192.168.15.38/32 -j fpbxknownreg
/sbin/iptables -A fpbxregistrations -s 192.168.15.10/32 -j fpbxknownreg
Update complete.
Looping
^C
[root@ipv6 firewall]#


Edit: the 'ip6tables: Chain already exists' is because 'service iptables stop' is dumb, and doesn't clear the ip6tables. Ignore that, if you see it. You can clear it PROPERLY with 'ip6tables -F && ip6tables -X' before restarting the firewall daemon.

In fact, this is my 'testing' command:

'iptables -F && iptables -X && ip6tables -F && ip6tables -X && hooks/firewall'

That clears both IPv4 and IPv6 firewall tables to a pristine state, and then lets the firewall service recreate them all.

Edit 2: I just discovered that there's an 'ip6tables' service. I hadn't noticed that before. So 'service iptables stop' and then 'service ip6tables stop' would have worked fine.