LINUX.ORG.RU
ФорумAdmin

Проблема с открытием портов на хосту Linux

 ,


0

1

Добрый день! На моих хостах Linux открыты только 22 порты, к остальным портам доступа нет. Искал в интеренте инструкции, нашел как настраивать iptables что-то типа этого: iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables-save

или, для конкретного порта, например, 2030: iptables -A INPUT -p tcp -m tcp --dport 2030 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 2030 -j ACCEPT

порт 2030 поднят, но при настройке iptables соединение не происходит.

Заранее благодарен за поддержку. С уважением.

Перед добавлением правил вы смотрели чего там уже есть?

iptables -L

Если уже есть баны, то добавление разрешений не поможет.

Bootmen ★★☆ ()
Ответ на: комментарий от Bootmen

root@deb9:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp  — anywhere anywhere tcp dpt:3142 ACCEPT tcp  — anywhere anywhere tcp dpt:2070

Chain FORWARD (policy DROP) target prot opt source destination

Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp  — anywhere anywhere tcp dpt:3142 ACCEPT tcp  — anywhere anywhere tcp dpt:2070 root@deb9:~#

Если полностью задача, то мне нужно открыть порты для взаимодейсвтия apt-cacher (порт 3142). 2070 - это порт который я пробросил по туннелю, но использовать туннель в простой сети не очень хорошо, надо как-то решать проблему с недоступностью портов.

debadmin ()
Ответ на: комментарий от Bootmen

почему-то строки не переносит, странно.

вот еще раз:

root@deb9:~# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp  — anywhere anywhere tcp dpt:3142

ACCEPT tcp  — anywhere anywhere tcp dpt:2070

Chain FORWARD (policy DROP)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp  — anywhere anywhere tcp dpt:3142

ACCEPT tcp  — anywhere anywhere tcp dpt:2070

root@deb9:~#

debadmin ()
Ответ на: комментарий от debadmin

Если у Вас политики по умолчанию - ACCEPT, то любые разрешительные правила теряют смысл - по умолчанию все порты открыты.

Serge10 ★★★★★ ()
Ответ на: комментарий от Serge10

я пробовал разные варианты с правилами файервола, но это не помогало открывать доступы на порты хоста. Может причина не в файерволе?

debadmin ()
Ответ на: комментарий от debadmin

И что получаете в ответ? Ну и выше вам правильно подсказали - стоит проверить с помощью netstat, слушает ли кто-то Ваши порты.

Serge10 ★★★★★ ()

Искал в интеренте инструкции

Плохо искали. В гугл iptables tutorial

anc ★★★★★ ()
Ответ на: комментарий от Bootmen

Сервер:

Proto Recv-Q Send-Q Local Address Foreign Address

State PID/Program name

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -

tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -

tcp 0 0 127.0.0.1:3142 0.0.0.0:* LISTEN -

debadmin ()
Ответ на: комментарий от Bootmen

Сервер:

root@deb9:~# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all  — anywhere anywhere

ACCEPT all  — anywhere anywhere state RELATED,ESTABLISHED

ACCEPT all  — anywhere anywhere

ACCEPT all  — anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all  — anywhere anywhere

ACCEPT all  — anywhere anywhere

root@deb9:~#

root@deb9:~# netstat -ntulp

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Address

State PID/Program name

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 18802/sshd

tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1596/cupsd

tcp 0 0 127.0.0.1:3142 0.0.0.0:* LISTEN 13693/perl

Клиент: root@anton4:~# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination ACCEPT tcp  — anywhere anywhere tcp dpt:3142

ACCEPT tcp  — anywhere anywhere tcp dpt:ipp

ACCEPT tcp  — anywhere anywhere tcp dpt:2070

ACCEPT all  — anywhere anywhere

ACCEPT all  — anywhere anywhere

state RELATED,ESTABLISHED

ACCEPT all  — anywhere anywhere

ACCEPT all  — anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp  — anywhere anywhere tcp dpt:3142

ACCEPT tcp  — anywhere anywhere tcp dpt:ipp

ACCEPT tcp  — anywhere anywhere tcp dpt:2070

ACCEPT all  — anywhere anywhere

ACCEPT all  — anywhere anywhere

debadmin ()
Ответ на: комментарий от debadmin

По этому я и обращаюсь за помощью, что открытие всех портов на файерволе у сервера и у клиента не работает.

debadmin ()
Ответ на: комментарий от debadmin

почему-то строки не переносит, странно.

Потому, что под окошком набора сообщения не прочитана ссылка «прочитайте описание разметки LORCODE»?

AS ★★★★★ ()
Ответ на: комментарий от debadmin

что открытие всех портов на файерволе у сервера и у клиента не работает.

Вот это вот уберёт все правила iptables:

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
До перезагрузки. 4 строки про nat до кучи, сейчас вряд ли нужны.

AS ★★★★★ ()
Ответ на: комментарий от AS

Данные настройки не помогают открыть все порты сервера и клиента:

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING

debadmin ()
Ответ на: комментарий от debadmin

Данные настройки не помогают открыть все порты сервера и клиента:

Это не настройки, это консольные команды. Они полностью сбрасывают все правила и открывают всё. Вообще всё. А уж дальше смотри приложение, слушает ли оно нужный порт, или нет.

Ещё, правда, приложение может использовать tcp wrappers (конфигурация в hosts.allow и hosts.deny), но это сейчас всё реже встречается, да и сами приложения, зачастую, вовсе без оной поддержки собираются.

AS ★★★★★ ()
Ответ на: комментарий от AS

Может подскажете что не так с /etc/hosts на сервере:
root@deb9:~# more /etc/hosts
127.0.0.1 localhost
#127.0.1.1 deb9.cias.local deb9
127.0.0.1 deb9.cias.local deb9

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
192.168.3.7 dmz2

root@deb9:~#

Файлы:
/etc/host.allow
/etc/host.deny
пустые.

debadmin ()
Ответ на: комментарий от debadmin

Может подскажете что не так с /etc/hosts на сервере:

/etc/hosts к tcp wrappers отношения не имеет и к теме не относится.

Файлы:
/etc/host.allow
/etc/host.deny
пустые.

значит этот механизм не используется.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Тогда, если это не файервол и не хостс, то что другое мешает открыть порты на сервере и клиенте Linux?

debadmin ()
Ответ на: комментарий от debadmin

то что другое мешает открыть порты на сервере и клиенте Linux?

Ничего. Кроме отсутствия приложения, которое этот самый порт слушает. Про netstat уже писали.

AS ★★★★★ ()
Ответ на: комментарий от sh019JK7

Что пишет sudo systemctl status firewalld.service ?

По барабану. Оно управляет ровно тем же хозяйством ядра и тот сброс правил, про который я написал, должен был ему всё открыть.

AS ★★★★★ ()
Ответ на: комментарий от AS

Про очистку. Может так чуть правильнее?

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -F -t raw
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -X -t raw

anc ★★★★★ ()
Ответ на: комментарий от anc

root@deb9:~# iptables -P INPUT ACCEPT
root@deb9:~# iptables -P OUTPUT ACCEPT
root@deb9:~# iptables -P FORWARD ACCEPT
root@deb9:~#
root@deb9:~# iptables -F
root@deb9:~# iptables -F -t nat
root@deb9:~# iptables -F -t mangle
root@deb9:~# iptables -F -t raw
root@deb9:~# iptables -X
root@deb9:~# iptables -X -t nat
root@deb9:~# iptables -X -t mangle
root@deb9:~# iptables -X -t raw
root@deb9:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@deb9:~#

почему-то ничего не появляется в iptables


debadmin ()
Ответ на: комментарий от anc

я стал обновлять ос и у меня система не стала загружаться. ставлю заново ос, потом продолжим выяснять если опять ничего не получиться с портами.

debadmin ()
Ответ на: комментарий от debadmin

Странный вывод у вас команды:

netstat -ntulp

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:3142 0.0.0.0:* LISTEN - 

Получается, что приложения доступны только системе. Нормально должно быть так примерно:

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:3142 0.0.0.0:* LISTEN - 
iptables непричем. .

Bootmen ★★☆ ()
Последнее исправление: Bootmen (всего исправлений: 3)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.