LINUX.ORG.RU
ФорумAdmin

Не получается открыть порт через iptables

 ,


1

2

Добрый день. Заранее извините за нубский вопрос. Прошёлся по топикам, но толком своё не нашёл.

Вот таким набором команд пробую настроить себе iptables, мне просто нужно открыть порт 3128 (никаких прозрачных проксей у меня нет и не прозрачных). Для начала - я просто ну никак не могу открыть порт.

sudo iptables -F 
sudo iptables -A INPUT -p tcp --dport 3128 -s 192.168.1.10 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 3128 -d 192.168.1.10 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables-save

Удаляю всё из iptables. Добавляю возможность входа с 10го ip (это мой же). Добавляю возможность выхода с 10го ip Сохраняю

Далее пробую

telnet 192.168.1.10 3128

В итоге: telnet: Unable to connect to remote host: Connection refused

Содержимое IP-tables после моей настройки:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.1.10         anywhere             tcp dpt:3128 state NEW,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             192.168.1.10         tcp spt:3128 state ESTABLISHED

Дальше пустые цепочки.

Что я делаю не так? Может, нужно ещё как-то открыть доступ всей подсети или что?

Ответ на: комментарий от kostik87

iptables-save

# Generated by iptables-save v1.6.0 on Thu Feb 22 23:15:22 2018
*filter
:INPUT ACCEPT [11752:4014531]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12991:2763761]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -s 192.168.1.10/32 -p tcp -m tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -d 192.168.1.10/32 -p tcp -m tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
COMMIT
finetyro ()
Ответ на: Адрес от finetyro

Давайте еще раз: на input у вас приходят пакеты из вне, на output пакеты уходят во вне. Т.е для приема вы должны разрешить доступ с любого или из диапазона адреcа на порт 3128 т.е примерно так

-A INPUT -p tcp -m tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
Все что уходит также должно быть разрешенно
-A OUTPUT -p tcp -m tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
Все что отправляется внутри далжно быть разрешенно через обратную петлю
 -A INPUT -i lo -j ACCEPT 
 -A OUTPUT -o lo -j ACCEPT

Silerus ★★ ()
Ответ на: комментарий от finetyro

Вот как обычно, плавно переходим от темы топика к другой теме «пачаму у меня не работает squid?».
Вам не кажется что разумнее сначала настроить squid, а уже потом настраивать fw ?

anc ★★★★★ ()

никаких прозрачных проксей у меня нет и не прозрачных. Для начала - я просто ну никак не могу открыть порт.
никаких прозрачных проксей у меня нет и не прозрачных.

Опааааа. Перечитал топик. Так у вас вообще ничего на нем нет? Вы тупо начали с fw не настроив squid?

anc ★★★★★ ()
Ответ на: комментарий от anc

да знаю что плохому, но со сквидом он еще пару суток возиться будет пока въедет, там же тоже подводных камней как грязи, а так надеюсь додумается отстроить часть фаярвола и отключить на время настройки squid, а хотя он строит фаярвол по открытому принципу - вы правы - лучше сначала все отстроить, потом закрываться

Silerus ★★ ()
Ответ на: комментарий от Silerus

Ну даже если предлагать варианты, что бы кто-то слушал, вам не кажется, что вариант вида nc -l -p 3128 подходит лучше чем перевешивать демона на другой порт?

anc ★★★★★ ()
Ответ на: комментарий от Silerus

Перевешивать рабочего демона, тем более такого как ssh только ради того что бы он слушал! на порту... это не самое простое, это верх идиотизма. Уж простите за грубость не сдержался.
Установить netcat дело двух минут. Это не гном с кедами.

Но если серьезно, то сам подход ТС неправильный. Предположим есть существующий fw и он полностью устраивает. К нему только надо добавить правила для кальмара. В этом случае тут уже все обсудили. Все верно. Или ТС первый раз увидел fw, так тут одним вариантом «перевесить демона» не решить, если там все в ACCEPT.

anc ★★★★★ ()
Ответ на: комментарий от anc

да почему идеотизм то, перевел проверил вернул назад,он же насколько я понял на локал хосте весит, абсолютно без потери контроля, и все равно порт ssh меняют, как одну из ступений безопасности, ему сейчас важно убедится что он сделал правильно. Хотя я бы всеже отстроил сначало все, да и фаярвол мне привычно по закрытому принципу отстраивать

Silerus ★★ ()
Ответ на: комментарий от anc

Вы тупо начали с fw не настроив squid?

Можно было догадаться по тому, что он не может подключиться к порту, тогда как запретов на подключение нет все равно

zgen ★★★★★ ()