O Centos não abre porta / s depois que as regras são anexadas

1

Então, depois de alguns batalhar e lutar com o firewall, vejo que posso estar fazendo algo ou o firewall não está respondendo corretamente, pois há um filtro de porta bloqueando certas portas.

a propósito, eu vasculhei a internet, postei em fóruns, fiz quase tudo e agora daí o nome do site "serverfault", é o meu último recurso, eu preciso de ajuda O que eu esperava conseguir era criar um servidor pptp para conectar com os clientes windows / linux

ATUALIZADO @ bottom

Ok, aqui está o que eu fiz:

Eu fiz algumas alterações no meu arquivo iptables, dando-me incontáveis problemas e então eu restaurei o arquivo iptables.old

conteúdo do iptables.old:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

após a restauração do iptables.old (de volta ao estoque), a varredura do nmap mostra:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 13:54 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.014s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
22/tcp open ssh
113/tcp closed ident
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 4.95 seconds

se eu acrescentar a regra: (para aceitar todas as portas tcp que chegam ao servidor na interface eth0)

iptables -A INPUT -i eth0 -m tcp -j ACCEPT

saída nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 13:58 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.017s latency).
Not shown: 858 filtered ports, 139 closed ports
PORT STATE SERVICE
22/tcp open ssh
443/tcp open https
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 3.77 seconds

* percebe que ele permite e abre a porta 443, mas nenhuma outra porta, e remove a porta 113 ...?

removendo regra anterior e se eu acrescentar a regra: (permita e abra a porta 80 recebida pelo servidor na interface eth0)

iptables -A INPUT -i eth0 -m tcp -p tcp --dport 80 -j ACCEPT

saída nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 14:01 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.014s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
113/tcp closed ident
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 5.12 seconds

* note que remove a porta 443 e permite 80 mas está fechado

sem remover a regra anterior e se eu acrescentar a regra: (permita e abra a porta 1723 que chega ao servidor na interface eth0)

iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT

saída nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 14:05 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.015s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
113/tcp closed ident
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 5.16 seconds

* note que nenhuma alteração nas portas foi aberta ou fechada ???

após remover as regras:

iptables -A INPUT -i eth0 -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT

saída nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 14:07 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.015s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
22/tcp open ssh
113/tcp closed ident

Nmap done: 1 IP address (1 host up) scanned in 5.15 seconds

e retornando regra: (para aceitar todas as portas tcp recebidas pelo servidor na interface eth0)

iptables -A INPUT -i eth0 -m tcp -j ACCEPT

saída nmap:

nmap [server ip]

Starting Nmap 6.00 ( nmap.org ) at 2013-11-01 14:07 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.017s latency).
Not shown: 858 filtered ports, 139 closed ports
PORT STATE SERVICE
22/tcp open ssh
443/tcp open https
8008/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 3.87 seconds

observe que a eth0 muda as 999 portas filtradas para 858 portas filtradas, 139 portas fechadas

PERGUNTA:

porque eu não posso permitir e / ou abrir uma porta específica, por exemplo. Eu quero permitir e abrir a porta 443, ele não permite, ou mesmo 1723 para pptp, porque eu não sou capaz de ???

desculpe pelo layout, o editor deu problemas (também ... suspiro)

UPDATE @Madhatter comment # 1

obrigado madhatter

no meu arquivo iptables:

# Firewall configuration written by system-config-firewall  
# Manual customization of this file is not recommended.  
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0]  
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
-A INPUT -p icmp -j ACCEPT  
-A INPUT -i eth0 -j ACCEPT  
-A INPUT -i lo -j ACCEPT  
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT  

# ----------all rules mentioned in post where added here ONLY!!!----------  

-A INPUT -j REJECT --reject-with icmp-host-prohibited  
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT  

se eu quiser permitir e abrir a porta 1723 (ou editar o iptables para permitir uma conexão pptp do pc remoto), quais alterações eu faria? (por favor, tenha paciência comigo, minha primeira vez trabalhando com servidores, etc.)

Atualize o comentário # 2 do MadHatter

iptables -L -n -v --line-numbers

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        9   660 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
4        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
6        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 6 packets, 840 bytes)
num   pkts bytes target     prot opt in     out     source               destination  

apenas em uma nota pessoal, madhatter, obrigado pelo apoio, eu realmente aprecio isso!

UPDATE MadHatter comenta # 3

aqui estão as interfaces

 ifconfig

eth0      Link encap:Ethernet  HWaddr 00:1D:D8:B7:1F:DC  
          inet addr:[server ip]  Bcast:[server ip x.x.x].255  Mask:255.255.255.0
          inet6 addr: fe80::21d:d8ff:feb7:1fdc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:36692 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4247 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2830372 (2.6 MiB)  TX bytes:427976 (417.9 KiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

nmap remoto

nmap -p 1723 [server ip]

Starting Nmap 6.00 ( http://nmap.org ) at 2013-11-01 16:17 SAST
Nmap scan report for server.address.net ([server ip])
Host is up (0.017s latency).
PORT     STATE    SERVICE
1723/tcp filtered pptp

Nmap done: 1 IP address (1 host up) scanned in 0.51 seconds

nmap local

nmap -p 1723 localhost

Starting Nmap 5.51 ( http://nmap.org ) at 2013-11-01 16:19 SAST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000058s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT     STATE SERVICE
1723/tcp open  pptp

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

UPDATE MadHatter COMENTÁRIO POST # 4

Peço desculpas, se pode ter havido alguma confusão, eu tenho a regra anexada: (somente após o terceiro post)

iptables -A ENTRADA -p tcp --dport 1723 -j ACCEPT

netstat -apn|grep -w 1723
tcp        0      0 0.0.0.0:1723                0.0.0.0:*                   LISTEN      1142/pptpd   

Não há VPNs e firewalls entre o servidor e "eu"

ATUALIZAR o comentário # 5 de MadHatter

Então aqui está uma reviravolta intersting de eventos:

Eu inicializei no windows 7, criei uma conexão vpn, passei pelo nome de usuário de verificação & pword - > verificando o sstp então checando pptp (passou por isso muito rapidamente o que significa que não há problema), mas na verficação do username e pword (antes de registrar pc na rede), ele ficou preso, deu esse erro

Falha na conexão com o erro 2147943625 O computador remoto recusou a conexão de rede

netstat -apn | grep -w 1723

antes de se conectar:

netstat -apn |grep -w 1723
tcp        0      0 0.0.0.0:1723                0.0.0.0:*                   LISTEN      1137/pptpd

após o erro ter sido tentado novamente:

 netstat -apn |grep -w 1723
tcp        0      0 0.0.0.0:1723                0.0.0.0:*                   LISTEN      1137/pptpd
tcp        0      0 41.185.26.238:1723          41.13.212.47:49607          TIME_WAIT   -

Eu não sei o que isso significa, mas parece que há progresso ..., qualquer pensamento ???

    
por Charlie Dyason 01.11.2013 / 14:36

1 resposta

2

Uma quantidade razoável de testes (ver comentários) revelou que você não tem um problema de firewall ou transporte. O cliente pode se conectar ao pptpd no servidor, e quaisquer problemas remanescentes são relacionados ao aplicativo (e vejo que você abriu uma questão separada para isso).

De passagem, eu ecoaria os comentários de Jiri sobre o nmap; não é uma boa ferramenta para testar conectividade de ponta a ponta em uma única porta; telnet serverip 1723 teria sido muito melhor.

Eu só estou escrevendo isso para que você possa aceitar uma resposta e evitar que essa questão fique flutuando como uma nave fantasma, para sempre; e porque as respostas negativas são úteis também, e o processo de diagnóstico mostrado pode ser útil para outra pessoa em alguma data futura.

    
por 02.11.2013 / 09:21