LINUX.ORG.RU
ФорумAdmin

Открать порты на VPS


0

1

Нужно открыть порты 1701, 4500, 500 на VPS с виртуализацией OpenVZ. Система CentOs 6-x86_64 64-битная. Устанавливаю IPSEC/L2TP VPN. Открываю вот так:

iptables -A INPUT -p tcp -m tcp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 1701 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 4500 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 4500 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 500 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 500 -j ACCEPT
iptables -L -n
iptables-save | tee /etc/sysconfig/iptables
service iptables restart

Ещё пробовал так:

/sbin/iptables -A INPUT -m state --state NEW -p tcp --dport 1701 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -p udp --dport 1701 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -p tcp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -p udp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -p tcp --dport 500 -j ACCEPT
/sbin/iptables -A INPUT -m state --state NEW -p udp --dport 500 -j ACCEPT
service iptables save
service iptables restart

Открыть не получается.

Если смотреть netstat -npl сервер xl2tpd в списке есть.

[root@vpshost ~]# netstat -npl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      521/httpd
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      475/sshd
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      505/sendmail
tcp        0      0 :::22                       :::*                        LISTEN      475/sshd
udp        0      0 0.0.0.0:1701                0.0.0.0:*                               711/xl2tpd
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     100065545 640/pluto           /var/run/pluto/pluto.ctl
unix  2      [ ACC ]     STREAM     LISTENING     100065547 640/pluto           /var/run/pluto/pluto.info
unix  2      [ ACC ]     STREAM     LISTENING     100064501 1/init              @/com/ubuntu/upstart
unix  2      [ ACC ]     STREAM     LISTENING     100065315 489/saslauthd       /var/run/saslauthd/mux

iptables на iptables -L выдает вот что:

[root@vpshost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:l2tp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:l2tp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ipsec-nat-t
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipsec-nat-t
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:isakmp

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Проверяю здесь Получаю:

TCP/IP Port Scanner
Port scan results for: (IP сервера) on TCP ports: 1701,4500,500,80 (Max 10 ports)
Port # Status 
1701 (l2tp) Closed or Filtered 
4500 (ipsec-nat-t) Closed or Filtered 
500 (isakmp) Closed or Filtered 
80 (http) Open* 
* Some "Open" ports might be filtered.

Вот скриншот http://i017.radikal.ru/1311/d4/b466d0238f1d.png

Ещё telnet проверял:

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Admin>telnet (IP сервера) 1701
Подключение к (IP сервера)...Не удалось открыть подключение к этому узлу, на порт
 1701: Сбой подключения

C:\Users\Admin>telnet (IP сервера) 4500
Подключение к (IP сервера)...Не удалось открыть подключение к этому узлу, на порт
 4500: Сбой подключения

C:\Users\Admin>telnet (IP сервера) 500
Подключение к (IP сервера)...Не удалось открыть подключение к этому узлу, на порт
 500: Сбой подключения

Как открыть порты? Чем можно проверить открыты ли порты UDP?


policy ACCEPT

вы открываете открытое

а демоны, софт которые должны слушать эти порты запущены?

из netstat видно что у вас нормально работают веб, ssh и почта

vxzvxz ★★★ ()
Ответ на: комментарий от vxzvxz

Сканер показывает что закрыты нужные мне порты, но он только TCP может проверять, я выше писал что получается при проверке и скрин ещё есть. Чем проверить открыты ли UDP порты? xl2tpd запущен. Только у него состояние не LISTEN. Может быть потому что порт не открыт? Я по этому руководству пытаюсь установить IPSEC/L2TP VPN on CentOS 6 / Red Hat Enterprise Linux 6 / Scientific Linux 6 написано что 1701 порт TCP нужно открывать. Я открываю и TCP и UDP для всех указанных в руководстве портов 1701, 4500, 500. Если смотреть netstat -npl сервер xl2tpd по порту 1701 UDP слушает.

Sergo ()
Ответ на: комментарий от Sergo

Отключил фаервол вот так service iptables stop

[root@vpshost ~]# service iptables stop
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Setting chains to policy ACCEPT: filter mangle na[  OK  ]
iptables: Unloading modules:                               [  OK  ]

[root@vpshost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Результат тот же что на скриншоте выше. Порты не открылись.

У меня у сервера xl2tpd состояние не LISTEN, это нормально или что-то не так?

Sergo ()
Ответ на: комментарий от menzoberronzan

Спасибо. Установил я nmap. При включённом и выключенном фаерволе вот таким способом service iptables stop получаеся вот такой результат

[root@vpshost ~]# nmap -sU (IP сервера) -p 1701

Starting Nmap 5.51 ( http://nmap.org ) at 2013-11-23 06:26 EST
Nmap scan report for vpshost (IP сервера)
Host is up.
PORT     STATE         SERVICE
1701/udp open|filtered L2TP

Nmap done: 1 IP address (1 host up) scanned in 2.07 seconds

Получается что UDP тоже закрыт.

Sergo ()
Ответ на: комментарий от Sergo

tl;dr

tcp: nmap -p 1-65535 -T4 -A -v ${IP}
udp: nmap -sS -sU -T4 -A -v ${IP}
без файрвола все порты открыты, но кроме этого должен висеть сервис на этом интерфейсе. сканировать лучше извне, наверное

wakuwaku ★★★★ ()
Последнее исправление: wakuwaku (всего исправлений: 1)
Ответ на: комментарий от Sergo

У вас политика ACCEPT, значит разрешены соединения по всем портам, просто порты интересующие вас не слушается ни одним сервисом или демоном, работает или нет тот или иной сервис на указанном порте проверяется командой telnet, например telnet 127.0.0.1 1701, если нет соединения значит что-то не так настроено

vxzvxz ★★★ ()
Ответ на: комментарий от vxzvxz

Если смотреть netstat -npl сервер xl2tpd в списке есть. Только состояние у него не LISTEN. Это нормально для проверки порта?

[root@vpshost ~]# netstat -npl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      521/httpd
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      475/sshd
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      505/sendmail
tcp        0      0 :::22                       :::*                        LISTEN      475/sshd
udp        0      0 0.0.0.0:1701                0.0.0.0:*                               711/xl2tpd
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     100065545 640/pluto           /var/run/pluto/pluto.ctl
unix  2      [ ACC ]     STREAM     LISTENING     100065547 640/pluto           /var/run/pluto/pluto.info
unix  2      [ ACC ]     STREAM     LISTENING     100064501 1/init              @/com/ubuntu/upstart
unix  2      [ ACC ]     STREAM     LISTENING     100065315 489/saslauthd       /var/run/saslauthd/mux

Sergo ()

Посмотри внимательно на нетстат - и ты увидишь, что на портах 4500 и 500 _никто_ не слушает.

Проверять телнетом udp порт - бессмысленно, ибо telnet посылает tcp пакеты.

В общем случае определить, открыт ли в фаерволле udp порт - невозможно, ибо посылать в ответ udp пакеты или не посылать - прерогатива приложения, слушающего на этом порту.

В первом листинге iptables'a все верно, этого достаточно. Даже излишне порты открыты.

Большинство отписавшихся в треде - идиоты.

anonymous ()
Ответ на: комментарий от anonymous

Да, еще проверь правила в цепочке OUTPUT. Если там закрыто - твои приложения не смогут посылать пакеты.

anonymous ()
Ответ на: комментарий от anonymous

4500 и 500 UDP действительно никто не слушает, при установке IPsec возникли проблемы, нет поддержки в ядре. Pluto не запустился, поэтому никто эти порты не слушает. Меня больше порт 1701 UDP интересовал. В логе при подключении есть записи, значит порт 1701 открыт. Спасибо всем за помощь.

Sergo ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.