MC' Napisano Luty 12, 2013 Zgłoszenie Share Napisano Luty 12, 2013 Witam, Niby banalny problem ale nie działa...Problem pojawił sie po updacie i restarcie: cat /var/log/yum.log Feb 10 15:20:41 Updated: tzdata-java-2012j-1.el6.noarch Feb 10 15:20:43 Updated: tzdata-2012j-1.el6.noarch Feb 10 15:20:44 Updated: kernel-headers-2.6.32-279.22.1.el6.i686 Feb 10 15:21:05 Updated: selinux-policy-3.7.19-155.el6_3.14.noarch Feb 10 15:21:07 Updated: kernel-firmware-2.6.32-279.22.1.el6.noarch Feb 10 15:21:13 Installed: kernel-2.6.32-279.22.1.el6.i686 Feb 10 15:21:24 Updated: glibc-common-2.12-1.80.el6_3.7.i686 Feb 10 15:21:30 Updated: glibc-2.12-1.80.el6_3.7.i686 Feb 10 15:21:32 Updated: glibc-headers-2.12-1.80.el6_3.7.i686 Feb 10 15:21:32 Updated: glibc-devel-2.12-1.80.el6_3.7.i686 Feb 10 15:21:33 Updated: perf-2.6.32-279.22.1.el6.i686 Feb 10 15:22:35 Updated: selinux-policy-targeted-3.7.19-155.el6_3.14.noarch Feb 10 15:22:35 Updated: libxml2-2.7.6-8.el6_3.4.i686 Feb 10 15:22:36 Updated: nspr-4.9.2-0.el6_3.1.i686 Feb 10 15:22:36 Updated: cyrus-sasl-lib-2.1.23-13.el6_3.1.i686 Feb 10 15:22:36 Updated: nss-util-3.13.6-1.el6_3.i686 Feb 10 15:22:37 Updated: abrt-libs-2.0.8-6.el6.centos.2.i686 Feb 10 15:22:37 Updated: libuuid-2.17.2-12.7.el6_3.i686 Feb 10 15:22:38 Updated: mysql-libs-5.1.67-1.el6_3.i686 Feb 10 15:22:38 Updated: freetype-2.3.11-14.el6_3.1.i686 Feb 10 15:22:39 Updated: mysql-5.1.67-1.el6_3.i686 Feb 10 15:22:40 Updated: libblkid-2.17.2-12.7.el6_3.i686 Feb 10 15:22:41 Updated: util-linux-ng-2.17.2-12.7.el6_3.i686 Feb 10 15:22:42 Updated: device-mapper-libs-1.02.74-10.el6_3.3.i686 Feb 10 15:22:42 Updated: device-mapper-1.02.74-10.el6_3.3.i686 Feb 10 15:22:42 Updated: device-mapper-event-libs-1.02.74-10.el6_3.3.i686 Feb 10 15:22:43 Updated: device-mapper-event-1.02.74-10.el6_3.3.i686 Feb 10 15:22:43 Updated: lvm2-libs-2.02.95-10.el6_3.3.i686 Feb 10 15:22:43 Updated: cyrus-sasl-2.1.23-13.el6_3.1.i686 Feb 10 15:22:44 Updated: nss-3.13.6-2.el6_3.i686 Feb 10 15:22:44 Updated: nss-sysinit-3.13.6-2.el6_3.i686 Feb 10 15:22:45 Updated: openssh-5.3p1-81.el6_3.i686 Feb 10 15:22:46 Updated: nss-tools-3.13.6-2.el6_3.i686 Feb 10 15:22:47 Updated: cyrus-sasl-gssapi-2.1.23-13.el6_3.1.i686 Feb 10 15:22:47 Updated: libreport-plugin-reportuploader-2.0.9-5.el6.centos.2.i686 Feb 10 15:22:48 Updated: libreport-2.0.9-5.el6.centos.2.i686 Feb 10 15:22:48 Updated: libreport-plugin-rhtsupport-2.0.9-5.el6.centos.2.i686 Feb 10 15:22:48 Updated: libreport-python-2.0.9-5.el6.centos.2.i686 Feb 10 15:22:49 Updated: abrt-2.0.8-6.el6.centos.2.i686 Feb 10 15:22:49 Updated: abrt-addon-python-2.0.8-6.el6.centos.2.i686 Feb 10 15:22:49 Updated: libreport-plugin-kerneloops-2.0.9-5.el6.centos.2.i686 Feb 10 15:22:50 Updated: abrt-addon-kerneloops-2.0.8-6.el6.centos.2.i686 Feb 10 15:22:50 Updated: libreport-plugin-mailx-2.0.9-5.el6.centos.2.i686 Feb 10 15:22:50 Updated: abrt-tui-2.0.8-6.el6.centos.2.i686 Feb 10 15:22:51 Updated: libreport-plugin-logger-2.0.9-5.el6.centos.2.i686 Feb 10 15:22:51 Updated: libreport-cli-2.0.9-5.el6.centos.2.i686 Feb 10 15:22:52 Updated: 32:bind-libs-9.8.2-0.10.rc1.el6_3.6.i686 Feb 10 15:22:52 Updated: 32:bind-utils-9.8.2-0.10.rc1.el6_3.6.i686 Feb 10 15:22:53 Updated: libtiff-3.9.4-9.el6_3.i686 Feb 10 15:22:53 Updated: 1:cups-libs-1.4.2-48.el6_3.3.i686 Feb 10 15:22:54 Updated: cpio-2.10-11.el6_3.i686 Feb 10 15:22:54 Updated: abrt-addon-ccpp-2.0.8-6.el6.centos.2.i686 Feb 10 15:22:55 Updated: nscd-2.12-1.80.el6_3.7.i686 Feb 10 15:22:56 Updated: ipa-python-2.2.0-17.el6_3.1.i686 Feb 10 15:22:56 Updated: abrt-cli-2.0.8-6.el6.centos.2.i686 Feb 10 15:22:56 Updated: ipa-client-2.2.0-17.el6_3.1.i686 Feb 10 15:22:57 Updated: nss-pam-ldapd-0.7.5-15.el6_3.2.i686 Feb 10 15:22:59 Updated: 1:cups-1.4.2-48.el6_3.3.i686 Feb 10 15:23:00 Updated: openssh-clients-5.3p1-81.el6_3.i686 Feb 10 15:23:02 Updated: openssh-server-5.3p1-81.el6_3.i686 Feb 10 15:23:03 Updated: cyrus-sasl-devel-2.1.23-13.el6_3.1.i686 Feb 10 15:23:03 Updated: lvm2-2.02.95-10.el6_3.3.i686 Feb 10 15:23:06 Updated: mysql-server-5.1.67-1.el6_3.i686 Feb 10 15:23:07 Updated: pango-1.28.1-7.el6_3.i686 Feb 10 15:23:14 Updated: 1:java-1.6.0-openjdk-1.6.0.0-1.54.1.11.6.el6_3.i686 Feb 10 15:23:15 Updated: 1:autofs-5.0.5-55.el6_3.i686 Feb 10 15:23:15 Updated: cyrus-sasl-plain-2.1.23-13.el6_3.1.i686 Feb 10 15:23:16 Updated: libxml2-python-2.7.6-8.el6_3.4.i686 Feb 10 15:23:16 Updated: kexec-tools-2.0.0-245.el6_3.1.i686 Feb 11 11:46:45 Installed: mongo-10gen-2.2.3-mongodb_1.i686 Feb 11 11:46:47 Installed: mongo-10gen-server-2.2.3-mongodb_1.i686 Feb 12 13:41:14 Updated: elinks-0.12-0.21.pre5.el6_3.i686 Otóz serwer ma ssh na porcie 2345. 1. w /etc/sshd_config Port 2345 2. reguły iptables: $IPT -A INPUT -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT $IPT -A OUTPUT -p tcp --sport $SSH_PORT -m state --state ESTABLISHED -j ACCEPT gdzie port ssh to 2345 3. SELInux też ok bo setenabled działa wszystko semanage port -l | grep 2345 ssh_port_t tcp 2345, 22 4. iptables -vnL Chain INPUT (policy DROP 150 packets, 49873 bytes) pkts bytes target prot opt in out source destination 4 220 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 24 1824 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2345 state NEW,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 state RELATED,ESTABLISHED 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123 state NEW 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 2 426 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 dpts:1024:65535 state ESTABLISHED Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP 12 packets, 720 bytes) pkts bytes target prot opt in out source destination 4 220 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 12 1536 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:2345 state ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 2 140 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:1024:65535 dpt:53 state NEW,ESTABLISHED 5. SSHD też ok: netstat -ntlp | grep :2345 tcp 0 0 0.0.0.0:2345 0.0.0.0:* LISTEN 4271/sshd tcp 0 0 :::2345 :::* LISTEN 4271/sshd A jak dam service iptables start to połączyć sie nie mozna po ssh. service iptables stop i mogę się połaczyc legalnie Co jest nie tak? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
MC' Napisano Luty 12, 2013 Autor Zgłoszenie Share Napisano Luty 12, 2013 Co prawda te reguły iptables dodawane są ze skryptu odpalanego co kilka minut w cronie ale to nie ma raczej znaczenia bo przed updatem wszystko śmigało Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@jszubiak Napisano Luty 12, 2013 Zgłoszenie Share Napisano Luty 12, 2013 Podaj -j LOG i zobacz co masz /var/log/messages Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość _PaT Napisano Luty 12, 2013 Zgłoszenie Share Napisano Luty 12, 2013 Przeprowadziłeś jednocześnie update SSH, kernela i selinux-policy-targeted, więc trudno powiedzieć w czym problem. Na Twoim miejscu kolejno: 0) Zacząłbym zabawy z firewallem i z reguł INPUT i OUTPUT skasowałbym stany (NEW, ESTABLISHED). Do tego po Twoich regułach zezwalających dodaj co sugeruje jszubiak. Jeśli coś się zaloguje, to Twoje regułki nie zezwalają 1) Zabootowałbym stary kernel celem wykluczenia, że to nowy kernel rodzi problemy. 2) Wgrałbym SSH w poprzedniej wersji. Dzięki tym krokom wyizolujesz problem. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
MC' Napisano Luty 13, 2013 Autor Zgłoszenie Share Napisano Luty 13, 2013 Ok to teraz jeszcze dziwniejsza rzecz. Otóż z domu się loguję bez problemu. Natomiast z pracy nie mogę bo... nie. Wcześniej nie było problemu. Czy wobec tego faktycznie jest sens zmieniać ssh w poprzedniej wersji lub kernel? Spróbuję dodać co daje info -j LOG podczas próby logowania z pracy. Póki co mam ssh: connect to host xx:xx:xx:xx port 2345: Connection timed out Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
MC' Napisano Luty 13, 2013 Autor Zgłoszenie Share Napisano Luty 13, 2013 Ok sprawdziłem w logach faktycznie jest odrzucenie z firmowego ip Jest tam wiele firmowych IP m.in. mój. iptables -N LOGGING iptables -A INPUT -j LOGGING iptables -A LOGGING -j LOG --log-prefix "IPTables-Dropped: " --log-level 4 iptables -A LOGGING -j DROP Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
MC' Napisano Luty 19, 2013 Autor Zgłoszenie Share Napisano Luty 19, 2013 Ok nadal się z tym męczę. Jednak z domu teraz już też się nie łączyło.. ale Okazuję się, że ssh na porcie moim mogę się połączyc dopiero po zmianie tych regułek na: $IPT -A INPUT -p tcp -j ACCEPT $IPT -A OUTPUT -p tcp -j ACCEPT Czyli usunięciu sekcji state i port. Dlaczego nagle te opcje nie działają i czy mogę to jakoś naprawić? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się