Помогите с диагностикой сети.

Автор: CHPOKS Дата: 28.02.2010 18:45 Постоянно у меня мистические случаи. По которым немогу найтиобьяснения в сети((

разбираюсь с iptables (АСП12).
2 сетевые карты, внешняя eth0(192.168.10.222) воткнута в модем.(192.168.10.1)
в модеме, в NAT включаю проброску порта. Сначала сделал просто 22 на 22 сетевой карты. Не пошло. промучался весь позавчерашний день.
с локалки, нормально, а если пытаюсь на внешний адрес чтоб прокинул - он ни вкакую.
Дошёл до безсмысленного предположения, мол модем на первым 1000 портам не прокидывает порты.
Поднял на виндовой машине IIS посадил на порт 8080 - всё прошло.
Ну думаю наверно не прокидывет попервым 1000 портам...

сегодня перевёл ssh на 5222 порт, прописал правило, порт 5222 внешнего IP мдема на машину 192.168.10.222 на порт 5222. И никак.
Со второй машины обращаюсь к 192.168.10.222 на порт 5222 проходит нормально.
Пишу внешний IP порт 5222 никак.

Вот тут вроде и получается что, вроде как модем не прокидывает.
Но на порт 8080 то прокинул?

Для чистоты эксперемента поднял Apache тоже поставил на порт 5080 - и тоже никак.
Отсюда очередное бредовое предположение.
Может когда я обращаюсь напрямую, он пропускает т.к. одна подсетка (типа доверенная), а на обращение с внешнего не реагирует, типа боится ...

Может есть ещё какая-то система защиты которую я не отключил, как проверить?
подскажите, как диагностировать.
с локальной XP есть связь и на прямую если обратиться к этому IP и к внешнему. и от туда также. Нопорт не пробрасывается.

покажу iptables, route, что ещё показать скажите.
заранее спасибо.
# /sbin/iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5222
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5080
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02                                                                                                                      LOG flags 2 level 7
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02                                                                                                                      reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

# /sbin/iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

/sbin/route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         192.168.10.1    0.0.0.0         UG    0      0        0 eth0


воткак прописано в роутере (модеме)
Rule  Application  Start Port  End Port  Local IP Address  
1  SSH  5221  5223  192.168.10.222  
2  HTTP  5080  5080  192.168.10.222  
Re: Помогите с диагностикой сети. 28.02.2010 19:48CHPOKS Хех.
я использовал фол последней надежды, и попросил знакомых сделать тоже самое.
и чудо - оказывается что всё работает!!!
как я понял, пакет через внешний ip когда ходил, он возвращался и попадал с указанием "на внутренний ... " и тут видимо срабатывало опять правило: ах порт 5222 и желаем внутрь пройти, тогда вам на IP 192,168,10,222 ... и никаких вариантов ... т.е. через внешний IP он просто ко мне не приходил, а циклился там ...
-))
Re: Помогите с диагностикой сети. 01.03.2010 10:43Cherepulya что говорит nmap 192.168.10.222 ?

Меня смущают правила файервола на входящей таблице. Что выкидывает iptables-save? Погасить iptables на время не пробовали?
Re: Помогите с диагностикой сети. 13.03.2010 01:53CHPOKS Ухтыж, дождался таки чтоб форум включили.
И вам здравствуйие Cherepulya.

Как я написал выше, с точки зрения проброски, всё нормально. (т.е. всё работает).
вот что выдаёт nmap. Правда я не уверен что всё правильно сделал.
т.е. у меня только одна линуксовая машина, и nmap я запускал как бы на "сам себя".
[root@localhost ~]# nmap 192.168.10.222

Starting Nmap 4.20 ( [<a href="http://insecure.org" rel="nofollow">insecure.org</a>] ) at 2010-03-13 04:33 MSK
Interesting ports on 192.168.10.222:
Not shown: 1695 closed ports
PORT    STATE SERVICE
111/tcp open  rpcbind
443/tcp open  https

Nmap finished: 1 IP address (1 host up) scanned in 0.146 seconds
[root@localhost ~]#

Так вот, я понимаю, что скорее всего https у меня открыт из-за того, что запущен apache.
Но на сколько я знаю, что открытый порт без службы - это не страшно. Но и запущенная служба без открытого порта, тоже не должна работать.
Так каким образом, если выводы /sbin/iptables -L -n и /sbin/iptables -t nat -L -n говорят что все порты закрыты, nmap вдруг видит, что порт 443 открыт? и ещё какойто 111 (Sun RPC)
Непонимаю, какой смысл настраивать правила фаирвола в iptables, если они всеровно обходятся самостоятельно службами?
PS Поясните пожалуйсто, что означает ваша фраза "Меня смущают правила файервола на входящей таблице"? Опыта у меня нет, но на первый взгляд вроде всё хорошо? Покажите, что смущает, ато может я как-то не так читаю эту самую таблицу? подскажите куда смотреть.
заранее спасибо.
Re: Помогите с диагностикой сети. 13.03.2010 10:03BigAndy CHPOKS Пишет:

Но на сколько я знаю, что открытый порт без службы - это не страшно.

Это как так? А что тогда отвечает по этому порту?
Но и запущенная служба без открытого порта, тоже не должна работать.

С чего бы это?
PS Поясните пожалуйсто, что означает ваша фраза "Меня смущают правила файервола на входящей  таблице"?


Chain INPUT (policy ACCEPT


Опыта у меня нет
man iptables,
iptables-tutorial
www.iptables.ru

Так каким образом, если выводы /sbin/iptables -L -n и /sbin/iptables -t nat -L -n говорят что все порты закрыты, nmap вдруг видит, что порт 443 открыт?

Где такое написано?
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Re: Помогите с диагностикой сети. 13.03.2010 11:34CHPOKS Здравствуйте BigAndy.
Всё что я сделал пока, это прочёл рекомендованый вами www.iptables.ru. Сам iptables это ничто иное, как рекомендованый там фаил "demo" + открытые 2 порта, тоже как у них рекомендуется в цепочке фильтр.

Это как так? А что тогда отвечает по этому порту?

Так потому и говорю, что если порт открыт (принудительно не закрыт) и на нём нет службы - то это нестрашно. Ответить там некому.
Отсюда следует и второй тезис, что фаирвол должен принудительно закрывать порты, на столько принудительно, что даже если там служба - он ей не даст работать. Иначе зачем он вообще нужен? достаточно только управлять службами. Ну не только для форвардинга же? Сама суть фаирвола - защита.
В приведённом мною выводе написано:
# /sbin/iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5222
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5080
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02                                                                                                                      LOG flags 2 level 7
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02

в частности, принять "куда угодно" и "откуда угодно" по портам 5222 и 5080
по остальным REJECT - что переводится как "отвергнуть".
Так каким образом вдруг у меня открыты порты 433 и 111?
И что подозрительного
?
PS отсутствие опыта говорит о том, что я не настраивал его никогда и не понимаю как работает. маны, статьи итп, я прочёл конечно же.
просто надо понять базу, а дальше уже можно будет разбираться.
Вот сейчас я написал как понимаю сам фарвол, как понимаю выводы - и непонимаю откуда результаты.

спс за ответы.
Re: Помогите с диагностикой сети. 13.03.2010 21:31slavin Рекомендую перейти на ClearOS. И все проблемы отойдут в далекое прошлое...
Re: Помогите с диагностикой сети. 14.03.2010 03:14CHPOKS slavin
спс за совет, но переходить неразобравшись с этим и не поняв причину перехода, считаю глупым.
еслиб я упёрся в то, что тут, что-то сделать невозможно, то понятно. а прыгать с системы на систему глупо.
завтра у меня появится ещё вопрос и мне предложат перейти на третью систему))).
так что сорри. буду пытать эту)

я начал с асп и пока не разберусь, ненамерен менять.
Re: Помогите с диагностикой сети. 15.03.2010 21:00daydrim Уважаемый, CHPOKS Улыбка
А порты 22, 5222 . которые вы открыли, они вообще слушаются и на каком IP?

netstat -an --protocol=inet | grep 22
Re: Помогите с диагностикой сети. 16.03.2010 13:23CHPOKS Уважаемый daydrimВыпьем
С тем что слушаются порты, уже решено.
Сейчас вопрос в том, почему у меня открыты порты 433 и 111, если правила iptables которые видны на
выводах iptables -L -n и iptables -t nat -L -n написано что всё кроме 5222 и 5080 reject.
Re: Помогите с диагностикой сети. 16.03.2010 18:58daydrim кхм, в правилах iptables написано
Chain INPUT (policy ACCEPT)

это значит по дефолту всё разрешено, что не запрещено.
А запрещено только
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x13/0x02

необычное правило, что это значит, кстати?
Мне кажется лучше вывод цепочек делать с ключом -v
iptables -L -v -n
Re: Помогите с диагностикой сети. 16.03.2010 21:43lyo 2 daydrim

daydrim Пишет:
-------------------------------------------------------
> кхм, в правилах iptables написано
>
> Chain INPUT (policy ACCEPT)
>
> это значит по дефолту всё разрешено, что не
> запрещено.
Да, меня тоже это коробит Улыбка

> А запрещено только
>
> REJECT tcp -- 0.0.0.0/0 0.0.0.0/0
> tcp flags:0x13/0x02
>
> необычное правило, что это значит, кстати?
Вроде, реджект tcp пакетов SYN, не уверен на 100%, ибо хексом для указания флагов не пользуюсь.
Причем реджект отовсюду . И зачем в инпуте указывть такой дестинейшн?

> Мне кажется лучше вывод цепочек делать с ключом
> -v
> iptables -L -v -n
-v даст счетчики байт и ничего более.
Тут глобальная трабла в непонимании iptables. Вас не смутило обилие
DROP all -- 0.0.0.0/0 0.0.0.0/0
в цепочке forward? Типа, если первое правило не сработает, то, может, второе или третье?

wbr
lyo
Re: Помогите с диагностикой сети. 16.03.2010 23:06BigAndy Да нет, это видно, какая-то гуёвая конфигурялка наконфигурякала.

Пока нет точного таргета, размышляь правильно ли то, что написано - контрпродуктивно.
Re: Помогите с диагностикой сети. 17.03.2010 09:51daydrim BigAndy Улыбка +1 Улыбка

CHPOKS: Выпьем
Могу посоветовать переконфигурить правила IPTABLES для цепочки INPUT, так чтобы было прозрачное понимание что и как работает
Re: Помогите с диагностикой сети. 17.03.2010 14:25CHPOKS таймут.
провайдер интернет отрубил. как включит, отвечу полностью)
но пока скажу:
daydrim
Могу посоветовать переконфигурить правила IPTABLES для цепочки INPUT, так чтобы было прозрачное понимание что и как работает 

Так в том то и дело, что я ничего не конфигурировал, а использовал демо фаил со странички iptables.ru Могу сюда скопировать, если такой вывод неполным кажется.

lyo Да, именно непонимание. и желание понять. ну вот как "почувствую", что всё закрыто, тут открыл, там перенаправил - дальше уже с ветееватостью можно и экмперементировать. но пока не понятно. вроде и закрыто но что-то само открывается ...
BigAndy
Да нет, это видно, какая-то гуёвая конфигурялка наконфигурякала.

а как бы понять какая и с какого "наконфигурякала"?
по сути конечно ясно, я запустил апачи, он на порту 5080, и наверняка https тоже от туда же.
Но мне непонятно, в чём суть фаирвола если его самостоятельно кто-то переконфигурирует?
всёж iptables это сервис низкого уровня, и удобен наверняка тем что он является основой, и как следствие более гибок, более надёжен.

как я понимаю он должен "держать всё под контролем".
И запуская какую-то службу, я должен предварительно поставить его в известность, мол пропусти по такому то порту, это свои.
Тогда он биг бос и самый осной пост.
Не спорю, может я пока не понял что и как. но пока что его самостоятельно, без моего разрешения обходят службы.
RSS-материал