Porta 80 filtrada nmap

2

De repente, a porta 80 do meu servidor é mostrada como filtrada (nenhuma alteração de servidor é feita). Meus sites, às vezes, estão esgotados ou ficam esperando por muito tempo (no navegador). Meu suporte técnico 1 e 1 não ajuda em nada. Ele deixou para mim para resolvê-lo.

A saída do host local do Nmap está abaixo,

Starting Nmap 5.51 ( http://nmap.org ) at 2015-08-05 13:12 IST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000025s latency).
Other addresses for localhost (not scanned): 127.0.0.1
Not shown: 984 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   open     smtp
53/tcp   open     domain
80/tcp   filtered http
106/tcp  open     pop3pw
110/tcp  open     pop3
143/tcp  open     imap
443/tcp  open     https
465/tcp  open     smtps
587/tcp  open     submission
783/tcp  open     spamassassin
993/tcp  open     imaps
995/tcp  open     pop3s
3306/tcp open     mysql
8443/tcp open     https-alt

Aqui está o meu iptables,

# Generated by iptables-save v1.4.7 on Wed Aug  5 13:13:10 2015
*raw
:PREROUTING ACCEPT [766174:119529463]
:OUTPUT ACCEPT [425616:321228136]
COMMIT
# Completed on Wed Aug  5 13:13:10 2015
# Generated by iptables-save v1.4.7 on Wed Aug  5 13:13:10 2015
*nat
:PREROUTING ACCEPT [64110:3791395]
:POSTROUTING ACCEPT [2368:111132]
:OUTPUT ACCEPT [2324:120618]
COMMIT
# Completed on Wed Aug  5 13:13:10 2015
# Generated by iptables-save v1.4.7 on Wed Aug  5 13:13:10 2015
*mangle
:PREROUTING ACCEPT [423439:69482399]
:INPUT ACCEPT [423439:69482399]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [225758:163995526]
:POSTROUTING ACCEPT [225720:163982022]
COMMIT
# Completed on Wed Aug  5 13:13:10 2015
# Generated by iptables-save v1.4.7 on Wed Aug  5 13:13:10 2015
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:VZ_FORWARD - [0:0]
:VZ_INPUT - [0:0]
:VZ_OUTPUT - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset 
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 12443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 11443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 11444 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 8447 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 8880 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 106 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 9008 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 9080 -j ACCEPT 
-A INPUT -p udp -m udp --dport 137 -j ACCEPT 
-A INPUT -p udp -m udp --dport 138 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT 
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8/0 -j ACCEPT 
-A INPUT -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset 
-A FORWARD -m state --state INVALID -j DROP 
-A FORWARD -i lo -o lo -j ACCEPT 
-A FORWARD -j DROP 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset 
-A OUTPUT -m state --state INVALID -j DROP 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -j ACCEPT 
-A VZ_INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A VZ_INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A VZ_INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
-A VZ_INPUT -p tcp -m tcp --dport 110 -j ACCEPT 
-A VZ_INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
-A VZ_INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A VZ_INPUT -p tcp -m tcp --dport 32768:65535 -j ACCEPT 
-A VZ_INPUT -p udp -m udp --dport 32768:65535 -j ACCEPT 
-A VZ_INPUT -p tcp -m tcp --dport 8880 -j ACCEPT 
-A VZ_INPUT -p tcp -m tcp --dport 8443 -j ACCEPT 
-A VZ_INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -j ACCEPT 
-A VZ_INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p udp -j ACCEPT 
-A VZ_OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT 
-A VZ_OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT 
-A VZ_OUTPUT -p tcp -m tcp --sport 25 -j ACCEPT 
-A VZ_OUTPUT -p tcp -m tcp --sport 110 -j ACCEPT 
-A VZ_OUTPUT -p tcp -m tcp --sport 53 -j ACCEPT 
-A VZ_OUTPUT -p udp -m udp --sport 53 -j ACCEPT 
-A VZ_OUTPUT -p tcp -j ACCEPT 
-A VZ_OUTPUT -p udp -j ACCEPT 
-A VZ_OUTPUT -p tcp -m tcp --sport 8880 -j ACCEPT 
-A VZ_OUTPUT -p tcp -m tcp --sport 8443 -j ACCEPT 
-A VZ_OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -j ACCEPT 
-A VZ_OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p udp -j ACCEPT 
COMMIT
# Completed on Wed Aug  5 13:13:10 2015

Tentativa de reinicialização do servidor e reinicialização do apache, sem alteração. Alguma solução?

    
por Praveen 05.08.2015 / 09:54

1 resposta

0

Quando você executa nmap no host local, seu firewall se comporta de maneira diferente de quando você usa nmap de uma máquina externa. Quando você faz nmap no localhost, seus pacotes e respostas basicamente passam pela sua corrente INPUT , OUTPUT duas vezes e as exceções para -i lo se aplicam. Você pode tentar nmap de uma máquina externa?

Não consigo ver que o firewall se comporta de maneira diferente para, digamos, a porta 22 e a porta 80. Você poderia tentar agrupar todas as regras de aceitação em uma grande instrução multiport para ter certeza de que o erro não é a configuração do firewall.

A propósito: suas correntes VZ_INPUT , VZ_OUTPUT nunca são usadas; Sugiro excluí-los para limpar seu conjunto de regras.

    
por 17.04.2016 / 17:09

Tags