Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Iptables - porty zablokowane mimo dodania regu

https://www.debian.pl/viewtopic.php?t=19253

Strona 1 z 1

Iptables - porty zablokowane mimo dodania regułek

: 30 czerwca 2010, 22:23
autor: ramelof
Witam.
Na początek to openVZ system Ubuntu 9.04 jednak z Debianem5 jest to samo.
Mam mały problem na VPS-ie, zakładam reguły na odblokowanie IRCa tj:

Kod: Zaznacz cały

iptables -A INPUT -p tcp -m tcp --dport 6667:6668 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 6667:6668 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 6667:6668 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 6667:6668 -j ACCEPT
Potem sprawdzam te regułki za pomocą nampa:

Kod: Zaznacz cały

nmap -v -PS localhost
Not shown: 996 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
587/tcp open submission
I porty nadal są zamknięte.
Ma ktoś jakieś wskazówki?

I jeszcze wynik polecenia:

Kod: Zaznacz cały

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:ircd:6668
ACCEPT     udp  --  anywhere             anywhere            udp dpts:6667:6668

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere            udp dpts:6667:6668
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:ircd:6668

: 30 czerwca 2010, 22:32
autor: db
Polityka firewalla jest ustawiona na ACCEPT, więc te łańcuchy nie są potrzebne. Głupie pytanie, ale czy coś u Ciebie nasłuchuje na tych portach?

: 30 czerwca 2010, 22:44
autor: ramelof
Tylko mimo polityk IRC nie działa. Przy łączeniu się z np.:

Kod: Zaznacz cały

polska.irc.pl
mam:

Kod: Zaznacz cały

 connection timeout
A używając kolejnego polecenia nampa, mam, że port i tak jest zamknięty. Czy owa regułka jest czy jej nie ma.

Kod: Zaznacz cały

root@X:~# nmap 188.116.3.XX -P0 -sV -p 6667

Starting Nmap 4.76 ( [url]http://nmap.org[/url] ) at 2010-07-01 00:41 MSD
SCRIPT ENGINE: '/usr/share/nmap/scripts/skype_v2-version.nse' threw a run time error and could not be loaded.
SCRIPT ENGINE: '/usr/share/nmap/scripts/iax2Detect.nse' threw a run time error and could not be loaded.
SCRIPT ENGINE: '/usr/share/nmap/scripts/PPTPversion.nse' threw a run time error and could not be loaded.
Interesting ports on XXXX.serwervps.pl (188.116.3.XX):
PORT     STATE  SERVICE VERSION
6667/tcp closed irc

Service detection performed. Please report any incorrect results at [url]http://nmap.org/submit/[/url] .
Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds

: 01 lipca 2010, 00:10
autor: adasiek_j
A tego irca to masz serwer u siebie czy tez chcesz sie łaczyc gdzies i nie mozesz ?
Adam

: 01 lipca 2010, 00:11
autor: MarekXBX
ramelof domyślnie porty IRC-a na routerze są zablokowane

: 01 lipca 2010, 01:21
autor: fnmirk
MarekXBX, problemy rozwiązujemy na forum.

: 01 lipca 2010, 14:31
autor: ramelof
adasiek_j pisze:A tego irca to masz serwer u siebie czy tez chcesz sie łaczyc gdzies i nie mozesz ?
Adam
Przepraszam, chyba właśnie zapomniałem podać. Łącze się gdzieś dokładnie do polska.irc.pl

Kod: Zaznacz cały

16:41 -!- Irssi: Looking up polska6.irc.pl
16:41 -!- Irssi: Unable to connect server polska6.irc.pl port 6667 [Name or service not known]
16:42 -!- Irssi: Looking up polska.irc.pl
16:42 -!- Irssi: Connecting to polska.irc.pl [212.182.63.110] port 6667
16:46 -!- Irssi: Unable to connect server polska.irc.pl port 6667 [Connection timed out]

: 01 lipca 2010, 15:15
autor: db
MarekXBX pisze:ramelof domyślnie porty IRC-a na routerze są zablokowane

Od kiedy? I na jakim routerze?

Nmapem możesz sprawdzić, co najwyżej, czy coś zbindowało się na tym porcie -- nie możesz sprawdzić regułek wychodzących. Polecam poczytać opis TCP/IP.

: 01 lipca 2010, 18:27
autor: adasiek_j
Spróbuj zrobić coś takiego i podaj tu wynik.

Kod: Zaznacz cały

adasiek@sea-star:~$ telnet 212.182.63.110 6667
Trying 212.182.63.110...
Connected to 212.182.63.110.
Escape character is '^]'.
:lublin.irc.pl 020 * :Please wait while we process your connection.
oraz dodatkowo:

Kod: Zaznacz cały

adasiek@main:~> /sbin/tracepath 212.182.63.110
 1:  main (192.168.0.254)                                   0.259ms pmtu 1500
 1:  router (192.168.0.1)                                   0.913ms 
 2:  fjm133.internetdsl.tpnet.pl (83.13.246.133)            1.067ms 
 3:  war-ru5.idsl.tpnet.pl (213.25.2.6)                   asymm  4  94.138ms 
 4:  war-r4.tpnet.pl (213.25.5.117)                       asymm  5  94.115ms 
 5:  lodz-ar3.tpnet.pl (213.25.5.206)                     asymm  6  94.149ms 
 6:  z-TPNETu.lodz-gw.rtr.pionier.gov.pl (80.50.231.26)    95.649ms 
 7:  z-lodz-gw.lublin.10Gb.rtr.pionier.gov.pl (212.191.225.30) 106.666ms 
 8:  fa0-0x799.viking.lubman.net.pl (212.182.56.145)      asymm  7 106.621ms 
 9:  no reply
10:  no reply
11:  no reply
12:  no reply
^C
adasiek@main:~> ping -c3 -w3 212.182.63.110
PING 212.182.63.110 (212.182.63.110) 56(84) bytes of data.
64 bytes from 212.182.63.110: icmp_seq=1 ttl=57 time=28.9 ms
64 bytes from 212.182.63.110: icmp_seq=2 ttl=57 time=26.0 ms
64 bytes from 212.182.63.110: icmp_seq=3 ttl=57 time=26.7 ms

--- 212.182.63.110 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2005ms
rtt min/avg/max/mdev = 26.075/27.244/28.946/1.238 ms
Zobaczymy, czy ze swojego komputera możesz tam się dostać...
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl