FirewallD permite que o IP Range atue não funcionando

Navegue suas respostas
0

Estou tentando abrir uma sub-rede completa de IPs para conectar-me ao meu servidor, mas o cliente está recebendo problemas semanais em que seu IP é atualizado e, depois, ele não pode mais acessar o servidor.

Eu tenho o IP abaixo de 197.245.0.0/16 (então 197.245.0.1 - 197.245.255.255) e, embora o IP permaneça dentro do intervalo de ip, eles são bloqueados das portas 5060 e 5061. Aqui está minha saída do meu zonas public.xml - Eu abri as portas específicas para outros intervalos que funciona bem, então não tenho certeza porque o acima faz isso.

O endereço IP atual do cliente é 197.245.90.x, portanto, ele não deve bloquear o firewall? 

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <port protocol="tcp" port="443"/>
  <port protocol="tcp" port="1567"/>
  <port protocol="tcp" port="80"/>
  <rule family="ipv4">
    <source address="195.35.114.0/23"/>
    <port protocol="tcp" port="5061"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="195.35.114.0/23"/>
    <port protocol="tcp" port="5060"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="197.245.0.0/16"/>
    <port protocol="tcp" port="5060"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="195.35.114.0/23"/>
    <port protocol="udp" port="10000-30000"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="197.245.0.0/16"/>
    <port protocol="udp" port="10000-30000"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="197.245.0.0/16"/>
    <port protocol="tcp" port="5061"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="204.27.0.0/16"/>
    <reject/>
  </rule>
  <rule family="ipv4">
    <source address="89.163.0.0/16"/>
    <reject/>
  </rule>
</zone>
    
por mauzilla 12.09.2016 / 10:16

1 resposta

1

De acordo com as informações que você postou, não deve ser bloqueado.

Para depurar o iptables insira uma regra com TRACE target em raw table:

TRACE

This target marks packets so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules.

A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for this to be visible. The packets are logged with the string prefix: "TRACE: tablename:chainname:type:rulenum " where type can be "rule" for plain rule, "return" for implicit rule at the end of a user defined chain and "policy" for the policy of the built in chains. It can only be used in the raw table.

então, no seu caso: 

modprobe nfnetlink_log
iptables -t raw -I PREROUTING -s 197.245.0.0/16 -p tcp --dport 5061 -j TRACE

Quando terminar a análise, remova-a: 

iptables -t raw -D PREROUTING -s 197.245.0.0/16 -p tcp --dport 5061 -j TRACE

Use o comando iptables para fazer isso, não os comandos firewall-* .

    
por 12.09.2016 / 10:38

Tags

Manter valores máximos repetidos na tabela Combina várias linhas até a sequência de caracteres