O que estou fazendo errado ao tentar abrir a porta 8080 no iptables usando o Ubuntu?

1

Estou tentando abrir a porta 8080 para poder usar um aplicativo do painel da web (McMyAdmin) que instalei no meu servidor Ubuntu. Eu sou bastante novo para Linux / SSH em geral, mas eu estou chegando lá graças a vários guias e um par de amigos! Eu queria saber se alguém pode me dizer o que eu fiz de errado ao tentar abrir a porta 8080. Parece aparecer bem quando eu verificar as regras com-nL, mas não quando eu uso -vL. Não tenho certeza de qual é a diferença real entre vL e nL também, então, se alguém puder me dar uma compreensão disso, será ótimo!

EDIT: Olhando por cima de tudo, não parece que a porta 80 esteja aberta também, vou presumir que preciso fazer algo sobre isso também ...

name@server:/etc/iptables$ sudo iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  127.0.0.0/8          0.0.0.0/0            reject-with icmp-port-unreachable
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            state NEW icmptype 8
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:25565
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:8080
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 0 level 7 prefix "iptables_INPUT_denied: "
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy DROP)
target     prot opt source               destination
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

name@server:/etc/iptables$ sudo iptables -vL
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
0     0 ACCEPT     all  --  lo     any     anywhere             anywhere
0     0 REJECT     all  --  !lo    any     127.0.0.0/8          anywhere             reject-with icmp-port-unreachable
0     0 ACCEPT     icmp --  any    any     anywhere             anywhere             state NEW icmp echo-request
0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             state NEW tcp dpt:ssh
0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             state NEW tcp dpt:25565
61  3096 ACCEPT     tcp  --  any    any     anywhere             anywhere             state NEW tcp dpt:http-alt
862 69185 ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED
21  1648 LOG        all  --  any    any     anywhere             anywhere             limit: avg 3/min burst 5 LOG level debug prefix "iptables_INPUT_denied: "
21  1648 REJECT     all  --  any    any     anywhere             anywhere             reject-with icmp-port-unreachable

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
0     0 REJECT     all  --  any    any     anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 16 packets, 2992 bytes)
pkts bytes target     prot opt in     out     source               destination
    
por Daniel T 18.03.2016 / 11:19

1 resposta

3

Você pode ler sobre o comando iptables usando man iptables .

Isso mostra,

   -v, --verbose
          Verbose output.  This option makes the list command show the interface name, the rule options (if any), and the TOS masks.  The
          packet and byte counters are also listed, with the suffix 'K', 'M' or 'G' for 1000,  1,000,000  and  1,000,000,000  multipliers
          respectively  (but  see  the -x flag to change this).  For appending, insertion, deletion and replacement, this causes detailed
          information on the rule or rules to be printed. -v may be specified multiple times to possibly emit more detailed debug  state‐
          ments.

   -n, --numeric
          Numeric  output.  IP addresses and port numbers will be printed in numeric format.  By default, the program will try to display
          them as host names, network names, or services (whenever applicable).

Portanto, o -n mostra números em vez de nomes de serviço. -v não é o oposto de -n , mas mostra nomes (que é o padrão) e muito mais dados.

Essencialmente, ambos estão mostrando a mesma coisa que é que você tem essa entrada (a primeira é numérica, a segunda é nomeada).

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8080

61 3096 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:http-alt

http-alt é o nome do serviço para a porta 8080. Basicamente, essas duas entradas são da mesma linha em diferentes formatos.

Além de 'abrir a porta' (o que realmente significa, permitir o tráfego através do firewall iptables), você precisa de um software pronto para aceitar tráfego na porta em questão. O McMyAdmin está configurado para escutar na porta 8080?

O comando netstat (entre outros) pode ser usado para ver quais processos estão escutando em quais portas. netstat -an lista todas as portas ( -a ) e mostra números ( -n ), o que o torna útil em combinação com grep . Por exemplo, netstat -an | grep 8080 irá listar se algum processo estiver usando a porta 8080. Você esperaria ver algo assim,

tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN

Os números reais podem variar. Você pode usar -p para mostrar qual processo está usando a porta, embora só mostre todos eles se você executá-lo como root.

Então, sudo netstat -anp | grep 8080 daria algo como

tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 4856/some-process-name

Se você não obtiver nenhuma saída, não há nada usando ou ouvindo na porta 8080, então você pode usar apenas sudo netstat -anp e examinar a lista de processos e ver se o que você espera estar lá é e qual porta está escutando.

    
por 18.03.2016 / 11:27