Назад | Перейти на главную страницу

Centos не открывает порт (а) после добавления правила (ов)

Итак, после некоторой борьбы и борьбы с брандмауэром я вижу, что, возможно, я что-то делаю или брандмауэр не отвечает правильно, есть фильтр портов, который блокирует определенные порты.

кстати, я прочесал Интернет, разместил сообщения на форумах, сделал почти все, и теперь, следовательно, имя веб-сайта "serverfault" является моим последним средством, мне нужна помощь. Я надеялся добиться, чтобы создать сервер pptp для подключения к Windows. / клиенты Linux

ОБНОВЛЕНО @ внизу

Хорошо, вот что я сделал:

Я внес некоторые изменения в свой файл iptables, что доставляет мне бесконечные проблемы, и поэтому я восстановил файл iptables.old

содержимое iptables.old:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

после восстановления iptables.old (обратно на сток) сканирование nmap показывает:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 13:54 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.014s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
22/tcp open ssh
113/tcp closed ident
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 4.95 seconds

если я добавлю правило: (чтобы принимать все порты TCP, поступающие на сервер на интерфейсе eth0)

iptables -A INPUT -i eth0 -m tcp -j ACCEPT

Вывод nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 13:58 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.017s latency).
Not shown: 858 filtered ports, 139 closed ports
PORT STATE SERVICE
22/tcp open ssh
443/tcp open https
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 3.77 seconds

* обратите внимание, что он разрешает и открывает порт 443, но не другие порты, и он удаляет порт 113 ...?

удаление предыдущего правила, и если я добавлю правило: (разрешить и открыть порт 80, входящий на сервер на интерфейсе eth0)

iptables -A INPUT -i eth0 -m tcp -p tcp --dport 80 -j ACCEPT

Вывод nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 14:01 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.014s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
113/tcp closed ident
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 5.12 seconds

* обратите внимание, что он удаляет порт 443 и разрешает 80, но закрыт

без удаления предыдущего правила, и если я добавлю правило: (разрешить и открыть порт 1723, входящий на сервер на интерфейсе eth0)

iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT

Вывод nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 14:05 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.015s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
113/tcp closed ident
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 5.16 seconds

* не замечаете никаких изменений в открытых или закрытых портах ???

после удаления правил:

iptables -A INPUT -i eth0 -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT

Вывод nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 14:07 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.015s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
22/tcp open ssh
113/tcp closed ident

Nmap done: 1 IP address (1 host up) scanned in 5.15 seconds

и правило возврата: (принять все TCP-порты, поступающие на сервер на интерфейсе eth0)

iptables -A INPUT -i eth0 -m tcp -j ACCEPT

Вывод nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 14:07 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.017s latency).
Not shown: 858 filtered ports, 139 closed ports
PORT STATE SERVICE
22/tcp open ssh
443/tcp open https
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 3.87 seconds

обратите внимание, что eth0 изменяет 999 фильтрованных портов на 858 фильтрованных портов, 139 закрытых портов

ВОПРОС:

почему я не могу разрешить и / или открыть определенный порт, например. Я хочу разрешить и открыть порт 443, он не позволяет, или даже 1723 для pptp, почему я не могу ???

извините за макет, у редактора возникли проблемы (а также ... вздох)

ОБНОВЛЕНИЕ @Madhatter комментарий # 1

спасибо, madhatter

в моем файле iptables:

# Firewall configuration written by system-config-firewall  
# Manual customization of this file is not recommended.  
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0]  
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
-A INPUT -p icmp -j ACCEPT  
-A INPUT -i eth0 -j ACCEPT  
-A INPUT -i lo -j ACCEPT  
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT  

# ----------all rules mentioned in post where added here ONLY!!!----------  

-A INPUT -j REJECT --reject-with icmp-host-prohibited  
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT  

если я хочу разрешить и открыть порт 1723 (или отредактировать iptables, чтобы разрешить pptp-соединение с удаленного компьютера), какие изменения я внесу? (пожалуйста, терпите меня, я впервые работаю с серверами и т. д.)

Обновить комментарий MadHatter №2

iptables -L -n -v --line-numbers

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        9   660 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
4        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
6        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 6 packets, 840 bytes)
num   pkts bytes target     prot opt in     out     source               destination  

Просто от себя лично, madhatter, спасибо за поддержку, я очень ценю это!

ОБНОВЛЕНИЕ Комментарий MadHatter №3

вот интерфейсы

 ifconfig

eth0      Link encap:Ethernet  HWaddr 00:1D:D8:B7:1F:DC  
          inet addr:[server ip]  Bcast:[server ip x.x.x].255  Mask:255.255.255.0
          inet6 addr: fe80::21d:d8ff:feb7:1fdc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:36692 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4247 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2830372 (2.6 MiB)  TX bytes:427976 (417.9 KiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

удаленный Nmap

nmap -p 1723 [server ip]

Starting Nmap 6.00 ( http://nmap.org ) at 2013-11-01 16:17 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.017s latency).
PORT     STATE    SERVICE
1723/tcp filtered pptp

Nmap done: 1 IP address (1 host up) scanned in 0.51 seconds

местная карта

nmap -p 1723 localhost

Starting Nmap 5.51 ( http://nmap.org ) at 2013-11-01 16:19 SAST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000058s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT     STATE SERVICE
1723/tcp open  pptp

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

ОБНОВЛЕНИЕ КОММЕНТАРИИ MadHatter # 4

Прошу прощения, если была какая-то путаница, у меня было добавлено правило: (только после 3-го поста)

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT

netstat -apn|grep -w 1723
tcp        0      0 0.0.0.0:1723                0.0.0.0:*                   LISTEN      1142/pptpd   

Между сервером и «мной» нет VPN и межсетевых экранов.

ОБНОВЛЕНИЕ Комментарий MadHatter №5

Итак, вот интересный поворот событий:

Я загрузился в Windows 7, создал vpn-соединение, прошел проверку имени пользователя и pword → проверка sstp, затем проверка pptp (прошел через это очень быстро, что означает, что проблем нет), но при проверке имени пользователя и pword (раньше регистрация ПК в сети), он завис, выдал эту ошибку

Сбой подключения с ошибкой 2147943625 Удаленный компьютер отказал в подключении к сети

netstat -apn | grep -w 1723

перед подключением:

netstat -apn |grep -w 1723
tcp        0      0 0.0.0.0:1723                0.0.0.0:*                   LISTEN      1137/pptpd

после того, как ошибка возникла, попробуйте снова:

 netstat -apn |grep -w 1723
tcp        0      0 0.0.0.0:1723                0.0.0.0:*                   LISTEN      1137/pptpd
tcp        0      0 41.185.26.238:1723          41.13.212.47:49607          TIME_WAIT   -

Не знаю что это значит но вроде прогресс есть ..., есть мысли ???

Достаточное количество тестов (см. Комментарии) показало, что у вас нет проблем с брандмауэром или транспортом. Клиент может подключиться к pptpd на сервере, и любые оставшиеся проблемы связаны с приложением (и я вижу, что вы открыли для этого отдельный вопрос).

Попутно я повторил бы комментарии Иржи о Nmap; это не лучший инструмент для тестирования сквозного подключения на одном порту; telnet serverip 1723 было бы намного лучше.

Я пишу это только для того, чтобы вы могли принять ответ и не дать этому вопросу вечно парить, как корабль-призрак; и потому, что отрицательные ответы тоже полезны, а показанный процесс диагностики может быть полезен кому-то еще в будущем.