LINUX.ORG.RU
ФорумAdmin

Проблема с портами


0

1

Здравствуйте, надавно столкнулся с неприятной проблемой. 21 и 22 порты закрыты. Дело явно не в iptables: $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT $IPT -P OUTPUT ACCEPT

Дает такой же результат как и при явном открытии портов: $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT $IPT -P OUTPUT ACCEPT $IPT -A INPUT -p tcp --dport 21 -j ACCEPT

Так же на машине крутится mysql на 3306 порту, с ним проблем нет и порт открыт и виден извне.

Что посоветуете с этим делать?

Конфиги sshd и vsftpd:

anonymous_enable=NO
local_enable=YES

write_enable=YES
local_umask=022
anon_umask=022
chown_uploads=NO

anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

dirmessage_enable=NO
xferlog_enable=YES
connect_from_port_20=NO

xferlog_file=/var/log/vsftpd.log

idle_session_timeout=600
data_connection_timeout=120

nopriv_user=ftp

async_abor_enable=YES

ftpd_banner=Welcome to blah FTP service.

listen=YES

anon_root=/home/ftp

#       $OpenBSD: sshd_config,v 1.81 2009/10/08 14:03:41 markus Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

Port 22
#AddressFamily any
ListenAddress 80.93.186.247
#ListenAddress ::

# The default requires explicit activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

LoginGraceTime 30s
PermitRootLogin yes
#StrictModes yes
MaxAuthTries 3
MaxSessions 3

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
PrintMotd no
PrintLastLog no
TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# here are the new patched ldap related tokens
# entries in your LDAP must have posixAccount & ldapPublicKey objectclass
#UseLPK yes
#LpkLdapConf /etc/ldap.conf
#LpkServers  ldap://10.1.7.1/ ldap://10.1.7.2/
#LpkUserDN   ou=users,dc=phear,dc=org
#LpkGroupDN  ou=groups,dc=phear,dc=org
#LpkBindDN cn=Manager,dc=phear,dc=org
#LpkBindPw secret
#LpkServerGroup mail
#LpkFilter (hostAccess=master.phear.org)
#LpkForceTLS no
#LpkSearchTimelimit 3
#LpkBindTimelimit 3
#LpkPubKeyAttr sshPublicKey

# override default of no subsystems
Subsystem       sftp    /usr/lib64/misc/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       ForceCommand cvs server

Вывод netstat -tnlp

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.0.1:27027       0.0.0.0:*               LISTEN      4112/python2.7
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      14869/vsftpd
tcp        0      0 80.93.186.247:22        0.0.0.0:*               LISTEN      1603/sshd
tcp        0      0 80.93.186.247:3306      0.0.0.0:*               LISTEN      1580/mysqld

По моим наблюдениям, 192.168.0.0/24 и 80.93.176.0/20 доступ имеют, провайдер порты точно НЕ закрывает. Раньше все работало нормально.

Так же стоит fail2ban.

Как я и говорил, проблема не в iptables. Ну раз нужен, то вот:

epic-s ~ # iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  178.63.47.16         0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  192.168.0.0/16       0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,7721,27500,3128
DROP       all  --  0.0.0.0/0            0.0.0.0/0           STRING match "HLBrute" ALGO name kmp TO 65535
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
DROP       all  --  127.0.0.0/8          0.0.0.0/0
DROP       all  --  62.118.135.84        0.0.0.0/0
DROP       udp  --  62.118.135.84        0.0.0.0/0
DROP       all  --  76.191.96.89         0.0.0.0/0
DROP       udp  --  76.191.96.89         0.0.0.0/0
DROP       all  --  94.28.128.0/18       0.0.0.0/0
DROP       udp  --  94.28.128.0/18       0.0.0.0/0
DROP       all  --  94.243.232.0/22      0.0.0.0/0
DROP       udp  --  94.243.232.0/22      0.0.0.0/0
DROP       all  --  188.226.89.76        0.0.0.0/0
DROP       udp  --  188.226.89.76        0.0.0.0/0
DROP       all  --  94.23.2.182          0.0.0.0/0
DROP       udp  --  94.23.2.182          0.0.0.0/0
DROP       all  --  58.222.190.75        0.0.0.0/0
DROP       udp  --  58.222.190.75        0.0.0.0/0
DROP       all  --  89.41.108.231        0.0.0.0/0
DROP       udp  --  89.41.108.231        0.0.0.0/0
DROP       all  --  67.202.17.65         0.0.0.0/0
DROP       udp  --  67.202.17.65         0.0.0.0/0
DROP       all  --  200.143.204.3        0.0.0.0/0
DROP       udp  --  200.143.204.3        0.0.0.0/0
DROP       all  --  173.203.78.165       0.0.0.0/0
DROP       udp  --  173.203.78.165       0.0.0.0/0
DROP       all  --  89.41.108.231        0.0.0.0/0
DROP       udp  --  89.41.108.231        0.0.0.0/0
udp-flood-established  udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 27015:27099 ctstate RELATED,ESTABLISHED
udp-flood-new  udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 27015:27099 ctstate NEW
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:138
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:113
DROP       icmp -f  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 4
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 12
ACCEPT     icmp --  0.0.0.0/0            80.93.186.247       icmp type 8 state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 27015,27016,27017,27018,27019,27020
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 27021,27022,27098,27099,27777,27778
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 27500,27056,27999
ACCEPT     tcp  --  192.168.0.0/16       0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  95.161.128.0/17      0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  80.93.188.23         0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  178.63.47.16         0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  192.168.0.0/16       0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  80.93.188.23         0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  95.161.128.0/17      0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  178.63.47.16         0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  62.118.135.84        0.0.0.0/0
DROP       all  --  76.191.96.89         0.0.0.0/0
DROP       all  --  94.28.128.0/18       0.0.0.0/0
DROP       all  --  94.243.232.0/22      0.0.0.0/0
DROP       all  --  188.226.89.76        0.0.0.0/0
DROP       all  --  94.23.2.182          0.0.0.0/0
DROP       all  --  58.222.190.75        0.0.0.0/0
DROP       all  --  89.41.108.231        0.0.0.0/0
DROP       all  --  67.202.17.65         0.0.0.0/0
DROP       all  --  200.143.204.3        0.0.0.0/0
DROP       all  --  173.203.78.165       0.0.0.0/0
DROP       all  --  89.41.108.231        0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW
DROP       icmp -f  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  80.93.186.247        0.0.0.0/0           icmp type 0 state RELATED,ESTABLISHED

Chain udp-flood-established (1 references)
target     prot opt source               destination
ACCEPT     all  --  188.40.40.201        0.0.0.0/0           ctstate RELATED,ESTABLISHED
ACCEPT     all  --  188.120.233.34       0.0.0.0/0           ctstate RELATED,ESTABLISHED
ACCEPT     all  --  178.63.47.16         0.0.0.0/0           ctstate RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           length 24:1420 limit: up to 131/sec burst 131 mode srcip-srcport-dstip-dstport
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `UDP FLOOD EST: '

Chain udp-flood-new (1 references)
target     prot opt source               destination
ACCEPT     all  --  188.40.40.201        0.0.0.0/0           ctstate NEW
ACCEPT     all  --  188.120.233.34       0.0.0.0/0           ctstate NEW
ACCEPT     all  --  178.63.47.16         0.0.0.0/0           ctstate NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           length 88:108 limit: up to 1/sec burst 3 mode srcip-srcport-dstip-dstport
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           length 33:54 limit: up to 1/sec burst 3 mode srcip-srcport-dstip-dstport
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `UDP FLOOD NEW: '
Мой ip - 95.161.251.205, статика. Сервер - 80.93.186.247

Lightokun ()
jugatsu@itc:~$ nmap 80.93.186.247 -n -PN -p 22 --packet-trace

Starting Nmap 4.62 ( http://nmap.org ) at 2011-02-16 13:18 MSK
CONN (0.0550s) TCP localhost > 80.93.186.247:22 => Operation now in progress
CONN (1.0570s) TCP localhost > 80.93.186.247:22 => Operation now in progress
Interesting ports on 80.93.186.247:
PORT   STATE    SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 2.057 seconds

смотри tcpdump'ом и вывод iptables-save давай

anton_jugatsu ★★★★ ()
iptables-save
# Generated by iptables-save v1.4.10 on Wed Feb 16 13:24:45 2011
*nat
:PREROUTING ACCEPT [46686:2954697]
:INPUT ACCEPT [30215:1745020]
:OUTPUT ACCEPT [2346:157375]
:POSTROUTING ACCEPT [6791:390115]
-A PREROUTING -d 80.93.186.247/32 -i eth0 -p udp -m udp --dport 27055 -j DNAT --to-destination 192.168.1.2:27055
-A PREROUTING -d 80.93.186.247/32 -i eth0 -p udp -m udp --dport 27024 -j DNAT --to-destination 192.168.1.2:27024
-A PREROUTING -d 80.93.186.247/32 -i eth0 -p udp -m udp --dport 27040 -j DNAT --to-destination 192.168.1.2:27040
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80
-A PREROUTING -d 80.93.186.247/32 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 7722 -j DNAT --to-destination 192.168.1.2:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 7706 -j DNAT --to-destination 192.168.1.2:3306
-A PREROUTING -i eth0 -p tcp -m tcp --dport 7721 -j DNAT --to-destination 192.168.1.2:21
-A PREROUTING -i eth0 -p udp -m udp --dport 27021 -j DNAT --to-destination 192.168.1.2:27021
-A PREROUTING -i eth1 -p udp -m udp --dport 27021 -j DNAT --to-destination 192.168.1.2:27021
-A PREROUTING -i eth0 -p udp -m udp --dport 27022 -j DNAT --to-destination 192.168.1.2:27022
-A PREROUTING -i eth1 -p udp -m udp --dport 27022 -j DNAT --to-destination 192.168.1.2:27022
-A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 80.93.186.247
COMMIT
# Completed on Wed Feb 16 13:24:45 2011
# Generated by iptables-save v1.4.10 on Wed Feb 16 13:24:45 2011
*mangle
:PREROUTING ACCEPT [6127281:783316526]
:INPUT ACCEPT [5464603:370659949]
:FORWARD ACCEPT [660566:412427406]
:OUTPUT ACCEPT [5433945:914000329]
:POSTROUTING ACCEPT [6094486:1326426454]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Feb 16 13:24:45 2011
# Generated by iptables-save v1.4.10 on Wed Feb 16 13:24:45 2011
*filter
:INPUT DROP [14161:953958]
:FORWARD ACCEPT [660593:412429485]
:OUTPUT ACCEPT [5434852:914145913]
:udp-flood-established - [0:0]
:udp-flood-new - [0:0]
-A INPUT -s 178.63.47.16/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,7721,27500,3128 -j ACCEPT
-A INPUT -m string --string "HLBrute" --algo kmp --to 65535 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
-A INPUT -s 62.118.135.84/32 -j DROP
-A INPUT -s 62.118.135.84/32 -p udp -j DROP
-A INPUT -s 76.191.96.89/32 -j DROP
-A INPUT -s 76.191.96.89/32 -p udp -j DROP
-A INPUT -s 94.28.128.0/18 -j DROP
-A INPUT -s 94.28.128.0/18 -p udp -j DROP
-A INPUT -s 94.243.232.0/22 -j DROP
-A INPUT -s 94.243.232.0/22 -p udp -j DROP
-A INPUT -s 188.226.89.76/32 -j DROP
-A INPUT -s 188.226.89.76/32 -p udp -j DROP
-A INPUT -s 94.23.2.182/32 -j DROP
-A INPUT -s 94.23.2.182/32 -p udp -j DROP
-A INPUT -s 58.222.190.75/32 -j DROP
-A INPUT -s 58.222.190.75/32 -p udp -j DROP
-A INPUT -s 89.41.108.231/32 -j DROP
-A INPUT -s 89.41.108.231/32 -p udp -j DROP
-A INPUT -s 67.202.17.65/32 -j DROP
-A INPUT -s 67.202.17.65/32 -p udp -j DROP
-A INPUT -s 200.143.204.3/32 -j DROP
-A INPUT -s 200.143.204.3/32 -p udp -j DROP
-A INPUT -s 173.203.78.165/32 -j DROP
-A INPUT -s 173.203.78.165/32 -p udp -j DROP
-A INPUT -s 89.41.108.231/32 -j DROP
-A INPUT -s 89.41.108.231/32 -p udp -j DROP
-A INPUT -p udp -m multiport --dports 27015:27099 -m conntrack --ctstate RELATED,ESTABLISHED -j udp-flood-established
-A INPUT -p udp -m multiport --dports 27015:27099 -m conntrack --ctstate NEW -j udp-flood-new
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p udp -m udp --dport 113 -j DROP
-A INPUT -p icmp -f -j DROP
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -d 80.93.186.247/32 -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 27015,27016,27017,27018,27019,27020 -j ACCEPT
-A INPUT -p udp -m multiport --dports 27021,27022,27098,27099,27777,27778 -j ACCEPT
-A INPUT -p udp -m multiport --dports 27500,27056,27999 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 95.161.128.0/17 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 80.93.188.23/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 178.63.47.16/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 80.93.188.23/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 95.161.128.0/17 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 178.63.47.16/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 62.118.135.84/32 -j DROP
-A FORWARD -s 76.191.96.89/32 -j DROP
-A FORWARD -s 94.28.128.0/18 -j DROP
-A FORWARD -s 94.243.232.0/22 -j DROP
-A FORWARD -s 188.226.89.76/32 -j DROP
-A FORWARD -s 94.23.2.182/32 -j DROP
-A FORWARD -s 58.222.190.75/32 -j DROP
-A FORWARD -s 89.41.108.231/32 -j DROP
-A FORWARD -s 67.202.17.65/32 -j DROP
-A FORWARD -s 200.143.204.3/32 -j DROP
-A FORWARD -s 173.203.78.165/32 -j DROP
-A FORWARD -s 89.41.108.231/32 -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p icmp -f -j DROP
-A OUTPUT -s 80.93.186.247/32 -p icmp -m icmp --icmp-type 0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A udp-flood-established -s 188.40.40.201/32 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A udp-flood-established -s 188.120.233.34/32 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A udp-flood-established -s 178.63.47.16/32 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A udp-flood-established -m length --length 24:1420 -m hashlimit --hashlimit-upto 131/sec --hashlimit-burst 131 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ACCEPT -j ACCEPT
-A udp-flood-established -j LOG --log-prefix "UDP FLOOD EST: "
-A udp-flood-new -s 188.40.40.201/32 -m conntrack --ctstate NEW -j ACCEPT
-A udp-flood-new -s 188.120.233.34/32 -m conntrack --ctstate NEW -j ACCEPT
-A udp-flood-new -s 178.63.47.16/32 -m conntrack --ctstate NEW -j ACCEPT
-A udp-flood-new -m length --length 88:108 -m hashlimit --hashlimit-upto 1/sec --hashlimit-burst 3 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT
-A udp-flood-new -m length --length 33:54 -m hashlimit --hashlimit-upto 1/sec --hashlimit-burst 3 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT
-A udp-flood-new -j LOG --log-prefix "UDP FLOOD NEW: "
COMMIT
# Completed on Wed Feb 16 13:24:45 2011

tcpdump выложу вечером

cat /etc/hosts.{allow,deny}

только /etc/hosts, я в первую очередь проверил присутствие этих файлов.

Lightokun ()
Ответ на: комментарий от Lightokun
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 80.93.188.23/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 95.161.128.0/17 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 178.63.47.16/32 -p tcp -m tcp --dport 22 -j ACCEPT

Разрешено только с этих хостов, так в чём проблема?

anton_jugatsu ★★★★ ()
Ответ на: комментарий от Lightokun

пробовал перевесить sshd на другой порт?

anonymous ()
Ответ на: комментарий от anton_jugatsu

> Разрешено только с этих хостов, так в чём проблема?

Хост топикстартера 95.161.251.205 входит в сетку 95.161.128.0/17 ;)

Yur4eg ★★ ()

Разрешено только с этих хостов, так в чём проблема?

В первом посте указано что и с OUTPUT,INPUT,FORWARD ACCEPT та же проблема, т.е. все разрешено - не пускает.

пробовал перевесить sshd на другой порт?

Пробовал, не сработало.

Lightokun ()
Ответ на: комментарий от Lightokun

кроме того, nmap показывает всякий linksys и dlink — не спрятана ли твоя гента за роутирчеком, которому надо дополнительно ладу давать?

anonymous ()

конфиг OpenBSD: sshd_config одни практически комменты! раскомментируй что тебе надо! даже не читал твой конфиг из одних комментов )))

ipwww ★★ ()
Ответ на: комментарий от Lightokun

зачем столько drop в input filter?, если

*filter
:INPUT DROP [14161:953958]
может стоит разобраться с правилами в этой ветке...

truetrue ()

конфиг OpenBSD: sshd_config одни практически комменты! раскомментируй что тебе надо! даже не читал твой конфиг из одних комментов )))

Молодец, не читай ничего после этого сообщения.
Ибо

Раньше все работало нормально.

ты тоже не прочитал.

может стоит разобраться с правилами в этой ветке...

3306 открыт, я сейчас могу к нему подключиться

Lightokun ()
Ответ на: комментарий от truetrue
Chain INPUT (policy DROP 24614 packets, 1953K bytes)
 pkts bytes target     prot opt in     out     source               destination
 123K 9196K ACCEPT     tcp  --  *      *       178.63.47.16         0.0.0.0/0           tcp dpt:3306
24119 1787K ACCEPT     tcp  --  *      *       192.168.0.0/16       0.0.0.0/0           tcp dpt:3306
  814 33406 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,7721,27500,3128
 1031  265K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           STRING match "HLBrute" ALGO name kmp TO 65535
 527K   54M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
  475 34550 ACCEPT     all  --  eth2   *       0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  !lo    *       127.0.0.0/8          0.0.0.0/0
    0     0 DROP       all  --  *      *       62.118.135.84        0.0.0.0/0
    0     0 DROP       udp  --  *      *       62.118.135.84        0.0.0.0/0
    0     0 DROP       all  --  *      *       76.191.96.89         0.0.0.0/0
    0     0 DROP       udp  --  *      *       76.191.96.89         0.0.0.0/0
  272 14416 DROP       all  --  *      *       94.28.128.0/18       0.0.0.0/0
    0     0 DROP       udp  --  *      *       94.28.128.0/18       0.0.0.0/0
  128  6784 DROP       all  --  *      *       94.243.232.0/22      0.0.0.0/0
    0     0 DROP       udp  --  *      *       94.243.232.0/22      0.0.0.0/0
   16   848 DROP       all  --  *      *       188.226.89.76        0.0.0.0/0
    0     0 DROP       udp  --  *      *       188.226.89.76        0.0.0.0/0
    0     0 DROP       all  --  *      *       94.23.2.182          0.0.0.0/0
    0     0 DROP       udp  --  *      *       94.23.2.182          0.0.0.0/0
    0     0 DROP       all  --  *      *       58.222.190.75        0.0.0.0/0
    0     0 DROP       udp  --  *      *       58.222.190.75        0.0.0.0/0
    8   424 DROP       all  --  *      *       89.41.108.231        0.0.0.0/0
    0     0 DROP       udp  --  *      *       89.41.108.231        0.0.0.0/0
    0     0 DROP       all  --  *      *       67.202.17.65         0.0.0.0/0
    0     0 DROP       udp  --  *      *       67.202.17.65         0.0.0.0/0
    0     0 DROP       all  --  *      *       200.143.204.3        0.0.0.0/0
    0     0 DROP       udp  --  *      *       200.143.204.3        0.0.0.0/0
    0     0 DROP       all  --  *      *       173.203.78.165       0.0.0.0/0
    0     0 DROP       udp  --  *      *       173.203.78.165       0.0.0.0/0
    0     0 DROP       all  --  *      *       89.41.108.231        0.0.0.0/0
    0     0 DROP       udp  --  *      *       89.41.108.231        0.0.0.0/0
  86M 5862M udp-flood-established  udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 27015:27099 ctstate RELATED,ESTABLISHED
 483K   29M udp-flood-new  udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 27015:27099 ctstate NEW
  255  117K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
 707K   42M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW
  738  164K DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:138
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:113
    0     0 DROP       icmp -f  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0           icmp type 4
    0     0 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0           icmp type 12
   27  3362 ACCEPT     icmp --  *      *       0.0.0.0/0            80.93.186.247       icmp type 8 state NEW,RELATED,ESTABLISHED
  426 20988 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 27015,27016,27017,27018,27019,27020
   87  4630 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 27021,27022,27098,27099,27777,27778
  225 11892 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 27500,27056,27999
    0     0 ACCEPT     tcp  --  *      *       192.168.0.0/16       0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       95.161.128.0/17      0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       80.93.188.23         0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       178.63.47.16         0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       192.168.0.0/16       0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       80.93.188.23         0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       95.161.128.0/17      0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       178.63.47.16         0.0.0.0/0           tcp dpt:22
Lightokun ()
Ответ на: комментарий от truetrue

Продолжение:

Chain FORWARD (policy ACCEPT 15M packets, 7933M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       62.118.135.84        0.0.0.0/0
    0     0 DROP       all  --  *      *       76.191.96.89         0.0.0.0/0
   38  2014 DROP       all  --  *      *       94.28.128.0/18       0.0.0.0/0
   11   583 DROP       all  --  *      *       94.243.232.0/22      0.0.0.0/0
    0     0 DROP       all  --  *      *       188.226.89.76        0.0.0.0/0
    0     0 DROP       all  --  *      *       94.23.2.182          0.0.0.0/0
    0     0 DROP       all  --  *      *       58.222.190.75        0.0.0.0/0
    0     0 DROP       all  --  *      *       89.41.108.231        0.0.0.0/0
    0     0 DROP       all  --  *      *       67.202.17.65         0.0.0.0/0
    0     0 DROP       all  --  *      *       200.143.204.3        0.0.0.0/0
    0     0 DROP       all  --  *      *       173.203.78.165       0.0.0.0/0
    0     0 DROP       all  --  *      *       89.41.108.231        0.0.0.0/0
   24   960 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID

Chain OUTPUT (policy ACCEPT 84M packets, 17G bytes)
 pkts bytes target     prot opt in     out     source               destination
  306 16128 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW
    0     0 DROP       icmp -f  *      *       0.0.0.0/0            0.0.0.0/0
   28  3422 ACCEPT     icmp --  *      *       80.93.186.247        0.0.0.0/0           icmp type 0 state RELATED,ESTABLISHED

Chain udp-flood-established (1 references)
 pkts bytes target     prot opt in     out     source               destination
   34  9041 ACCEPT     all  --  *      *       188.40.40.201        0.0.0.0/0           ctstate RELATED,ESTABLISHED
    1    53 ACCEPT     all  --  *      *       188.120.233.34       0.0.0.0/0           ctstate RELATED,ESTABLISHED
19208 1136K ACCEPT     all  --  *      *       178.63.47.16         0.0.0.0/0           ctstate RELATED,ESTABLISHED
  86M 5860M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           length 24:1420 limit: up to 131/sec burst 131 mode srcip-srcport-dstip-dstport
  701 77360 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `UDP FLOOD EST: '

Chain udp-flood-new (1 references)
 pkts bytes target     prot opt in     out     source               destination
  981 42703 ACCEPT     all  --  *      *       188.40.40.201        0.0.0.0/0           ctstate NEW
 1281 67893 ACCEPT     all  --  *      *       188.120.233.34       0.0.0.0/0           ctstate NEW
93819 8467K ACCEPT     all  --  *      *       178.63.47.16         0.0.0.0/0           ctstate NEW
    2   186 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           length 88:108 limit: up to 1/sec burst 3 mode srcip-srcport-dstip-dstport
 387K   20M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           length 33:54 limit: up to 1/sec burst 3 mode srcip-srcport-dstip-dstport
  515 25612 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `UDP FLOOD NEW: '

Lightokun ()
Ответ на: комментарий от anton_jugatsu
ip -4 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    inet 80.93.186.247/24 brd 80.93.186.255 scope global eth0
3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    inet 192.168.1.1/24 brd 192.168.1.255 scope global eth2
Lightokun ()
Ответ на: комментарий от Lightokun
    0     0 ACCEPT     tcp  --  *      *       192.168.0.0/16       0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       80.93.188.23         0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       95.161.128.0/17      0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       178.63.47.16         0.0.0.0/0           tcp dpt:22

крутите правила в filter input, у вас пакеты не доходят до этих правил, счетчики в нулях.

truetrue ()
Ответ на: комментарий от Lightokun

первое, что можно попробовать сделать - переместить правила для 21/22 порта в самое начало списка:
iptables -I INPUT 1 и тд.
попробовать прицепить к серверу по нужному порту и посмотреть счетчики iptables.
как это сделать вы знаете.
лирическое отступление:
что касаемо ветки input в filter, то настраиваю ее немного иначе.
изначально политика на ветку accept, если надо ограничить доступ к портам, то

iptables -j ACCEPT -A INPUT -s sourceIP_1 -p tcp/udp/etc --dport XX
iptables -j ACCEPT -A INPUT -s sourceIP_2 -p tcp/udp/etc --dport XX
...
iptables -j ACCEPT -A INPUT -s sourceIP_N -p tcp/udp/etc --dport XX
iptables -j REJECT -p tcp/udp/etc --dport XX

и так далее для нужных портов.

truetrue ()

Попробовал все что насоветовали - не работает.

Попробовал так же:

#!/bin/sh
IPT="/sbin/iptables"

INET_IFACE="eth0"
LIGHT_IFACE="eth1"
MORPH_IFACE="eth2"

# Политики по умолчанию.
echo "Stopping firewall and allowing everyone..."
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
echo "Default politics..."
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

exit;
Тот же результат - 21, 22 закрыты, svn и mysql открыты.

Lightokun ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.