LINUX.ORG.RU
ФорумAdmin

CentOS 7 блокирует порт несмотря ни на что.

 , , ,


0

1

Привет, народ, я что- то уже всю голову поломал себе :) Значит

CentOS Linux release 7.9.2009 (Core)
systemctl status firewalld
● firewalld.service
   Loaded: masked (/dev/null; bad)
   Active: inactive (dead)

На всякий случай

 ufw status
-bash: ufw: command not found

Правила iptables:

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:zabbix-agent
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:zabbix-trapper
ACCEPT     tcp  --  192.168.0.0/22       anywhere             tcp dpt:5038
ACCEPT     tcp  --  192.168.2.0/24       anywhere             tcp dpt:5038
ACCEPT     tcp  --  192.168.20.0/24      anywhere             tcp dpt:5038
ACCEPT     udp  --  192.168.20.0/24      anywhere             udp dpt:sip
ACCEPT     udp  --  192.168.0.0/22       anywhere             udp dpt:sip
ACCEPT     udp  --  192.168.2.0/24       anywhere             udp dpt:sip
ACCEPT     udp  --  195.9.78.0/24        anywhere             udp dpt:sip
ACCEPT     udp  --  195.34.37.0/24       anywhere             udp dpt:sip
ACCEPT     udp  --  31.184.230.0/24      anywhere             udp dpt:sip
ACCEPT     udp  --  62.176.26.0/24       anywhere             udp dpt:sip
ACCEPT     udp  --  192.168.6.0/24       anywhere             udp dpt:sip
ACCEPT     udp  --  anywhere             anywhere             udp dpt:45677
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     udp  --  anywhere             anywhere             udp dpts:afs3-fileserver:dnp
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Собственно, как не трудно догадаться, на сервере телефония, делал его не я. Я сижу в 62.176.26.0 и пытаюсь долбиться на сервак по 5060 sip клиентом, но получаю таймаут, не пойму где косяк, ведь все фаерволлы выключены, кроме iptables, причем сервак как- то люто бешено рубит к себе все коннекты кроме локалки.

Куда копать?

Для начала
# tcpdump -i any -ln net 62.176.26.0/24
а то вдруг это таки не вы

ЗЫ

все фаерволлы выключены, кроме iptables

вантуз?

anc ★★★★★ ()
Ответ на: комментарий от The_Newbe

Пользователь виндоус aka виндузятник aka вантузятник aka вантуз.

anc ★★★★★ ()
Ответ на: комментарий от The_Newbe

Сервис iptables служит, чтобы загружать правила iptables при загрузке. Если я правильно помню - где-то в /etc/iptables-save, посмотри в мане.

Вывод )

Aceler ★★★★★ ()
Последнее исправление: Aceler (всего исправлений: 1)
Ответ на: комментарий от Aceler

Не понимаю, к чему ты клонишь, ну правила там в шаблон вписаны и с него же подтягиваются при перезапуске службы, или я не туда думаю?)

The_Newbe ()
Ответ на: комментарий от anc

хм, есть /etc/sysconfig/iptables.save

но правила тянутся не оттуда, а из /etc/sysconfig/iptables, я обычно туда пишу, ну для примера открывал 80й порт, и это срабатывало

The_Newbe ()
ACCEPT     all  --  anywhere             anywhere

Что, прямо так? И не пускает?!

«iptables -L» это как аниме с цензурой.

«iptables -nvxL» - значительно полезнее. Там счетчики видны, по которым можно понять срабатывает правило или нет.

«iptables -t nat -nvxL» пустой?

А сколько сетевых интерфейсов в системе?

смотри tcpdump-ом есть ли входящие пакеты на порт 5060. Может их кто-то по пути режет.

vel ★★★★★ ()
Ответ на: комментарий от vel

Да, iptables -t nat -nvxL пустой

iptables -t nat -nvxL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

А iptables -nvxL

Даёт во

iptables -nvxL
Chain INPUT (policy DROP 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
   13827  7440151 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  481073 86550721 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
      33     1960 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
     446    26760 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10050
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10051
       0        0 ACCEPT     tcp  --  *      *       192.168.0.0/22       0.0.0.0/0            tcp dpt:5038
       0        0 ACCEPT     tcp  --  *      *       192.168.2.0/24       0.0.0.0/0            tcp dpt:5038
       0        0 ACCEPT     tcp  --  *      *       192.168.20.0/24      0.0.0.0/0            tcp dpt:5038
       0        0 ACCEPT     udp  --  *      *       192.168.20.0/24      0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       192.168.0.0/22       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       192.168.2.0/24       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       195.9.78.0/24        0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       195.34.37.0/24       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       31.184.230.0/24      0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       62.176.26.0/24       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       192.168.6.0/24       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:45677
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    3530   467987 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:7000:20000
    1136   117117 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 494917 packets, 95812723 bytes)
    pkts      bytes target     prot opt in     out     source               destination

В системе 3 интерфейса, tcpdump выдает с моей подсетки ток ssh, по 5060 вообще 0

The_Newbe ()
Ответ на: комментарий от The_Newbe

с моей подсетки ток ssh, по 5060 вообще 0

я бы политики ACCEPT временно сделал, чтоб удостовериться что не iptables это

ну и запусти

asterisk -rvvvvv

поглядеть есть ли попытки какие то про tcpdump уже сказали

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

Вот прямо щас вписал:

-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
ACCEPT     udp  --  anywhere             anywhere             udp dpt:sip

Врубаю сип клиент и просто ничего не приходит, только ssh трафик


12:36:58.233474 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2310592:2310880, ack 2081, win 1432, length 288
12:36:58.233766 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2310880:2311056, ack 2081, win 1432, length 176
12:36:58.248025 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2310592, win 1025, length 0
12:36:58.248050 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311056:2311232, ack 2081, win 1432, length 176
12:36:58.248473 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2311056, win 1024, length 0
12:36:58.248491 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311232:2311520, ack 2081, win 1432, length 288
12:36:58.248692 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311520:2311808, ack 2081, win 1432, length 288
12:36:58.263140 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2311520, win 1022, length 0
12:36:58.263165 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311808:2311984, ack 2081, win 1432, length 176
12:36:58.263415 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311984:2312272, ack 2081, win 1432, length 288
12:36:58.277971 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2311984, win 1026, length 0
12:36:58.277999 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2312272:2312448, ack 2081, win 1432, length 176
12:36:58.278240 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2312448:2312736, ack 2081, win 1432, length 288
12:36:58.293388 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2312736, win 1023, length 0
12:36:58.293428 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2312736:2312912, ack 2081, win 1432, length 176
12:36:58.293674 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2312912:2313200, ack 2081, win 1432, length 288
12:36:58.293877 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2313200:2313376, ack 2081, win 1432, length 176
12:36:58.308271 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2312912, win 1022, length 0
12:36:58.308313 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2313376:2313552, ack 2081, win 1432, length 176
12:36:58.308631 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2313376, win 1021, length 0
12:36:58.308643 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2313552:2313840, ack 2081, win 1432, length 288
12:36:58.308874 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2313840:2314176, ack 2081, win 1432, length 336
12:36:58.323491 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2313840, win 1026, length 0
12:36:58.323515 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2314176:2314352, ack 2081, win 1432, length 176
12:36:58.323736 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2314352:2314640, ack 2081, win 1432, length 288
12:36:58.337993 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2314352, win 1024, length 0
12:36:58.338011 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2314640:2314816, ack 2081, win 1432, length 176
12:36:58.338227 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2314816:2315104, ack 2081, win 1432, length 288
12:36:58.352856 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2315104, win 1021, length 0
12:36:58.352892 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315104:2315280, ack 2081, win 1432, length 176
12:36:58.353103 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315280:2315568, ack 2081, win 1432, length 288
12:36:58.353343 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315568:2315744, ack 2081, win 1432, length 176
12:36:58.367934 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2315280, win 1020, length 0
12:36:58.368001 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315744:2315920, ack 2081, win 1432, length 176
12:36:58.368008 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2315744, win 1026, length 0
12:36:58.368274 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315920:2316304, ack 2081, win 1432, length 384
12:36:58.368501 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2316304:2316480, ack 2081, win 1432, length 176
12:36:58.383287 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2316480, win 1023, length 0
12:36:58.383313 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2316480:2316656, ack 2081, win 1432, length 176
12:36:58.383559 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2316656:2316944, ack 2081, win 1432, length 288
12:36:58.383810 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2316944:2317120, ack 2081, win 1432, length 176
12:36:58.398249 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2316656, win 1023, length 0
12:36:58.398273 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2317120:2317296, ack 2081, win 1432, length 176
12:36:58.398389 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2317120, win 1021, length 0
12:36:58.398613 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2317296:2317680, ack 2081, win 1432, length 384
12:36:58.398816 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2317680:2317856, ack 2081, win 1432, length 176
12:36:58.414574 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2317856, win 1026, length 0
12:36:58.414608 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2317856:2318032, ack 2081, win 1432, length 176
12:36:58.414824 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2318032:2318320, ack 2081, win 1432, length 288
12:36:58.415100 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2318320:2318496, ack 2081, win 1432, length 176
12:36:58.424734 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [P.], seq 2081:2145, ack 2317856, win 1026, length 64

Причем так я уже делал и астер почти через уже начали упорно брутфорсить :)

The_Newbe ()
Ответ на: комментарий от vel

я думал sip там тоже отобразит, если прилетит..

13:01:26.469019 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:26.966959 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:27.977729 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:28.492887 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:28.984725 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:29.984941 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:30.512670 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:31.003062 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:32.011861 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:34.011292 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0

The_Newbe ()
  1. tcpdump cмотреть приходит ли на него что-то вообще

  2. посмотреть не включен ли selinux? если да - смотреть его логи, выключить и попробовать без него. заработает - раскуривать как в селинухе открывают порты

hungry_ewok ()
Ответ на: комментарий от The_Newbe

Какая интересная схема сети. Публичный IP адрес живет в какой-то внутренней сети, где могут роутиться частные серые IP-адреса?

Уверен, что SIP-сервер отвечая на адрес 62.176.26.xxx отвечает именно тебе, а не кидает пакеты в свой default gw?

BOOBLIK ★★ ()
Ответ на: комментарий от BOOBLIK

Вобще было бы интересно посмотреть на набросок схемы сети, где вот это всё работает именно в виде публичный адрес хоста + приватный адрес хоста рядом.

BOOBLIK ★★ ()
Ответ на: комментарий от BOOBLIK

Да ничего интересного, один интерфейс с инетом от провайдера, там у него прописан ип/маска/шлюз/днс Второй смотрит в локалку, в нем прописаны только днс и маска, нужен для того, что бы заливать бекапы в файлопомойку, которая стоит в локалке Третий подключен к свичу, а к свичу все сип телефоны, на этом же интерфейсе висити DHCP и выдает настройки телефонам. На самом интерфейсе тоже прописан только ип и маска

The_Newbe ()

С чего ты взял, что виноват именно iptables?

Впрочем, ответ становится ясен, как только видно, что ты не в состоянии даже tcpdump без подсказок запустить, или отключить iptables, чтобы понять что дело не в нём, а уж про такие вещи как описание интерфейсов, масок сети, роутинга, прочей «ненужной херни» и подавно лучше тебя не спрашивать.

Удивлён, что столько желающих помочь нашлось, я обычно такой мусор игнорирую

zgen ★★★★★ ()
Ответ на: комментарий от The_Newbe

Судя по всему вам надо нанять системного администратора.

BOOBLIK ★★ ()
Ответ на: комментарий от The_Newbe

поставь shorewall

yum install epel-release yum install shorewall

Там настроить три зоны и разрешить от sip телефонов весь трафик Вот и все

AVL2 ★★★★★ ()

Просто предположение, но проверьте что у вас с SELinux работает ли? Может там что намудрили с правилами

funyfizik ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.