LINUX.ORG.RU
ФорумAdmin

Не получается открыть порт через iptables

 ,


1

2

Добрый день. Заранее извините за нубский вопрос. Прошёлся по топикам, но толком своё не нашёл.

Вот таким набором команд пробую настроить себе iptables, мне просто нужно открыть порт 3128 (никаких прозрачных проксей у меня нет и не прозрачных). Для начала - я просто ну никак не могу открыть порт.

sudo iptables -F 
sudo iptables -A INPUT -p tcp --dport 3128 -s 192.168.1.10 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 3128 -d 192.168.1.10 -m state --state ESTABLISHED -j ACCEPT
sudo /sbin/iptables-save

Удаляю всё из iptables. Добавляю возможность входа с 10го ip (это мой же). Добавляю возможность выхода с 10го ip Сохраняю

Далее пробую

telnet 192.168.1.10 3128

В итоге: telnet: Unable to connect to remote host: Connection refused

Содержимое IP-tables после моей настройки:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.1.10         anywhere             tcp dpt:3128 state NEW,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             192.168.1.10         tcp spt:3128 state ESTABLISHED

Дальше пустые цепочки.

Что я делаю не так? Может, нужно ещё как-то открыть доступ всей подсети или что?

Ответ на: комментарий от kostik87

iptables-save

# Generated by iptables-save v1.6.0 on Thu Feb 22 23:15:22 2018
*filter
:INPUT ACCEPT [11752:4014531]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12991:2763761]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -s 192.168.1.10/32 -p tcp -m tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -d 192.168.1.10/32 -p tcp -m tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
COMMIT
finetyro
() автор топика

а теперь посмотри на строчку output почему у тебя адрес назначения твой интерфейс, тоже и со строкой input

Silerus ★★★★
()
Ответ на: комментарий от Silerus

Адрес

Ну так я пробую сам к себе же telnet. Кстати, для примера поставил openssh. Тут же заработал порт 22. Он же прописан в iptables.

finetyro
() автор топика
Ответ на: комментарий от Silerus

Опять потёр всё. Сделал вот это:

iptables -A INPUT -s 192.168.1.1/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT

Это точно должно сработать! Но, фиг там!

finetyro
() автор топика
Ответ на: Адрес от finetyro

Давайте еще раз: на input у вас приходят пакеты из вне, на output пакеты уходят во вне. Т.е для приема вы должны разрешить доступ с любого или из диапазона адреcа на порт 3128 т.е примерно так

-A INPUT -p tcp -m tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
Все что уходит также должно быть разрешенно
-A OUTPUT -p tcp -m tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
Все что отправляется внутри далжно быть разрешенно через обратную петлю
 -A INPUT -i lo -j ACCEPT 
 -A OUTPUT -o lo -j ACCEPT

Silerus ★★★★
()
Ответ на: комментарий от FluffyPillow

Не пускает всё равно. (( Самое интересное, что при не прописанном 22м порте в iptables он его пускает. Как?

finetyro
() автор топика
Ответ на: комментарий от finetyro
iptables -A INPUT -i $ifname -p TCP --dport 3128 -j ACCEPT 
iptables -A OUTPUT -o $ifname -p TCP --sport 3128 -j ACCEPT
Silerus ★★★★
()

А порт 3128 кто-нибудь слушает?

Так-то у тебя policy ACCEPT, т.е. по сути весь входящий трафик разрешен. И исходящий.

Deleted
()
Ответ на: комментарий от finetyro

Вот как обычно, плавно переходим от темы топика к другой теме «пачаму у меня не работает squid?».
Вам не кажется что разумнее сначала настроить squid, а уже потом настраивать fw ?

anc ★★★★★
()
Ответ на: комментарий от anc

Дык как squid-то проверять. Ну да ладно. Потопал тупить со squid. Спасибо!

finetyro
() автор топика

никаких прозрачных проксей у меня нет и не прозрачных. Для начала - я просто ну никак не могу открыть порт.
никаких прозрачных проксей у меня нет и не прозрачных.

Опааааа. Перечитал топик. Так у вас вообще ничего на нем нет? Вы тупо начали с fw не настроив squid?

anc ★★★★★
()
Ответ на: комментарий от Silerus

Эй. вы сейчас ребенка плохому научите. Нах это ему нужно? У него внутренняя сеть, какиры из инета массово не набегут, максимум соседи.

anc ★★★★★
()
Ответ на: комментарий от finetyro

Если интересна отладка fw как такового. Это отдельная задача. Мухи отдельно, котлеты отдельно.

anc ★★★★★
()
Ответ на: комментарий от anc

да знаю что плохому, но со сквидом он еще пару суток возиться будет пока въедет, там же тоже подводных камней как грязи, а так надеюсь додумается отстроить часть фаярвола и отключить на время настройки squid, а хотя он строит фаярвол по открытому принципу - вы правы - лучше сначала все отстроить, потом закрываться

Silerus ★★★★
()
Ответ на: комментарий от Silerus

3128 пустил после изменения конфига ssh. Спасибо. Буду дальше разбираться.

Спасибо всем огромное!!!

finetyro
() автор топика
Ответ на: комментарий от Silerus

Ну даже если предлагать варианты, что бы кто-то слушал, вам не кажется, что вариант вида nc -l -p 3128 подходит лучше чем перевешивать демона на другой порт?

anc ★★★★★
()
Ответ на: комментарий от Silerus

Перевешивать рабочего демона, тем более такого как ssh только ради того что бы он слушал! на порту... это не самое простое, это верх идиотизма. Уж простите за грубость не сдержался.
Установить netcat дело двух минут. Это не гном с кедами.

Но если серьезно, то сам подход ТС неправильный. Предположим есть существующий fw и он полностью устраивает. К нему только надо добавить правила для кальмара. В этом случае тут уже все обсудили. Все верно. Или ТС первый раз увидел fw, так тут одним вариантом «перевесить демона» не решить, если там все в ACCEPT.

anc ★★★★★
()
Ответ на: комментарий от anc

да почему идеотизм то, перевел проверил вернул назад,он же насколько я понял на локал хосте весит, абсолютно без потери контроля, и все равно порт ssh меняют, как одну из ступений безопасности, ему сейчас важно убедится что он сделал правильно. Хотя я бы всеже отстроил сначало все, да и фаярвол мне привычно по закрытому принципу отстраивать

Silerus ★★★★
()
Ответ на: комментарий от Silerus

Invaders must die || Take me to hospital
Вы действительно не понимаете идиотизма вашего предложения? Или это просто праздник (23-е), поэтому так получилось?

anc ★★★★★
()

А зачем тебе открывать порт, если у тебя все равно запретов не стоит и все порты открыты и так?

zgen ★★★★★
()
Ответ на: комментарий от anc

Вы тупо начали с fw не настроив squid?

Можно было догадаться по тому, что он не может подключиться к порту, тогда как запретов на подключение нет все равно

zgen ★★★★★
()
Ответ на: комментарий от anc

пойдите выпейте в честь 23, а то действительно слишком злой, прям весь мир черный и белый и никаких допущений

Silerus ★★★★
()
Ответ на: iptables-save от finetyro

Пробовал через UFW открыть порт? Была такая проблема, открывал через ufw, iptables он вообще не воспринимал за серьёзность.

WeOrangeSky
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.