Szukam rozwiązania problemu niedziałania masquerade pod kontrolą systemu Centos7 uruchamianej jako rich rule. Server ma dwie karty, jedna z nich w strefie (zone) =internal i druga w zone=external. Jak nazwa wskazuje masquerade jest konfigurowana na karcie w zone=external. Po wydaniu polecenia:

#firewalld-cmd --zone=external --add-masquerade

""root@ama zones]# firewall-cmd --zone=external --list-all
external (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s25
  sources:
  services: http ssh
  ports: 554/tcp 3390/tcp 50050/tcp 7000/tcp 8000/tcp 40389/tcp 6036/tcp 3389/tcp 6037/tcp
  protocols:
  masquerade: yes
  forward-ports: port=8000:proto=tcp:toport=8000:toaddr=192.168.1.220
    port=7000:proto=tcp:toport=7000:toaddr=192.168.1.94
    port=8080:proto=tcp:toport=8080:toaddr=192.168.1.199
    port=22000:proto=tcp:toport=22:toaddr=192.168.1.10
    port=8008:proto=tcp:toport=80:toaddr=192.168.1.10
    port=6037:proto=tcp:toport=6037:toaddr=192.168.1.123
    port=554:proto=tcp:toport=554:toaddr=192.168.1.220
    port=3389:proto=tcp:toport=3389:toaddr=192.168.1.199
    port=50050:proto=tcp:toport=50050:toaddr=192.168.1.199
    port=3390:proto=tcp:toport=3390:toaddr=192.168.1.184
    port=40389:proto=tcp:toport=3389:toaddr=192.168.1.198
    port=6036:proto=tcp:toport=6036:toaddr=192.168.1.122
  sourceports:
  icmp-blocks:
  rich rules:""

wszystko działa bez problemu. Hosty ze strefy internal nawiązują połączenie z internetem (działa DNS, ping, działają strony www)

Ale podobny efekt można według literatury -> https://www.rootusers.com/how-to-use-firewalld-rich-rules-and-zones-for-filtering-and-nat/ uzyskać  ale z możliwością dokładniej szej kontroli które adresy będą podlegać translacji masquerade wykorzystując rich-rule.

Na początek próbuję zastosowac rich-rule do całej podsieci ze strefy "internal"

# firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 masquerade'

[root@ama zones]# firewall-cmd --zone=external --list-all
external (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s25
  sources:
  services: http ssh
  ports: 554/tcp 3390/tcp 50050/tcp 7000/tcp 8000/tcp 40389/tcp 6036/tcp 3389/tcp 6037/tcp
  protocols:
  masquerade: yes
  forward-ports: port=8000:proto=tcp:toport=8000:toaddr=192.168.1.220
    port=7000:proto=tcp:toport=7000:toaddr=192.168.1.94
    port=8080:proto=tcp:toport=8080:toaddr=192.168.1.199
    port=22000:proto=tcp:toport=22:toaddr=192.168.1.10
    port=8008:proto=tcp:toport=80:toaddr=192.168.1.10
    port=6037:proto=tcp:toport=6037:toaddr=192.168.1.123
    port=554:proto=tcp:toport=554:toaddr=192.168.1.220
    port=3389:proto=tcp:toport=3389:toaddr=192.168.1.199
    port=50050:proto=tcp:toport=50050:toaddr=192.168.1.199
    port=3390:proto=tcp:toport=3390:toaddr=192.168.1.184
    port=40389:proto=tcp:toport=3389:toaddr=192.168.1.198
    port=6036:proto=tcp:toport=6036:toaddr=192.168.1.122
  sourceports:
  icmp-blocks:
  rich rules:
    rule family="ipv4" source address="192.168.1.0/24" masquerade

Niestety, tak dodana translacja masquerade nie działa. Próbowałem z innym (szerszym) zakresem adresów źródłowych, próbowałem ograniczyć masquerade do konkretnego adresu np. 192.168.1.10/32 ale również bez powodzenia. Zależy mi właśnie na tym aby część adresów z podsieci 192.168.1.0/24, na przykład dla podsieci 192.168.1.0/28 działała translacja masquerade a dla pozostałych nie.

Czy ktoś miał podobne doświadczenia a może zna odpowiedź jak to się da rozwiązań za pomocą rich-rules

l.j

Mam problem z zalogowaniem sie do kontenera stworzonego za pomoca systemd-nspawn. Na dole pokazuje output.

[root@proton bryn1u]# machinectl list
MACHINE CLASS     SERVICE
DNS     container nspawn
Proton  container nspawn
2 machines listed.
[root@proton bryn1u]# machinectl login DNS
Failed to get machine PTY: No such file or directory
[root@proton bryn1u]# machinectl login Proton
Failed to get machine PTY: No such file or directory
[root@proton bryn1u]#

W praktyce używam 3-5 układów klawiatury do tego dochodzą pliki zapisane, bodajże w 10 różnych typach kodowania (odwieczny problem isolatin-2 vs CP1251 vs utf u mnie jest przemnożony przez więcej języków)
 

W teorii GNOME3 obsługuje łatwe przełączanie między kilkoma układami klawiatury, w praktyce ich ilość w niektórych wersjach GNOME3 jest ograniczona. Przykładowo w F23 miałem do dyspozycji 4 układy, których potrzebuję, a w Debianie GNOME3 jest w takiej wersji, że mogę mieć maksimum 2 i to te, które mam jako języki obsługiwane przez system. Pomocniczo musiałem dociągnąć środowisko Cinnamon (w którym dało się skonfigurować dodatkowe układy)

Jak to jest w CentOSie i Red Hacie? 

Jak sugerowalibyście skonfigurować system do takich potrzeb?

Nie zależy mi szczególnie na dociąganiu Cinnamona ani nie upieram się przy używaniu GNOME3 - byleby to działało, było ergonomiczne, obsługiwało wiele układów klawiatury i nie miało ikon na pulpicie.

Hardware to netbook więc nie mogę sięgnąć po dawne sprawdzone rozwiązania typu ICEwm czy Fluxbox i zmiana przez setxkeyboard/setxkbmap z terminala.

Witam,

Mam takie pytanie, jak to jest w koncu z uzytkowaniem SElinuxa przez adminow w firmach/korporacjach itd. Czesciej albo znacznie czesciej natrafiam na negtywne zdania administratorow jesli chodzi o SE. "Wez to wylacz, przynosci wiecej szkod niz pozytku". Uzywam SE w wersji bardzo podstawowej i zastanawiam sie czy uzywac dalej, doszkalac sie czy po prostu sobie odpuscic. Chcialbym znac zdanie ludzi, ktorzy mieli z tym stycznosc a zwlaszcza w pracy jako admini gdzie powiedzmy sobie jest wygmagany centes lub rh. Czy u was w pracy jest selinux disable ? Czy moze macie jakies swoje przekompilowane jajka np z grsec. Grsec juz nie jest dostepny jako stable, chyba, ze tylko odplatanie Jeszcze jedno, przykladowo szukajac pracy jako admin it prawie zawsze wymagana jest znajomosc RH lub Cent i  czy to jest jednoznacznie z uzywaniem przez nich selinuxa ?

Pozdrawiam,

Chciałem troche "unowocześnić" swojego linuxa i przesiadłem sie (świeża instalka) z centosa 5.5 na 7.0 i juz na wstępie mam problemy z kompatybilnością bibliotek. Posiadam program napisany na na 32 bit linuxa i tutaj zaczyna sie klops. Z dobraniem glibcc poradziłem sobie po przestudiowaniu masy stron, ale niestety nie potrafię odnaleźć działającej paczki libx11.so.6.

Problem mam podobny jak w tym poście :

http://forums.fedoraforum.org/showthread.php?t=285296

Instaluje wszystkie pakiety które tam podpowiadają , libx11.i686 tez. I nadal program wywala nie znaleziono. A w /lib i /lib64 biblioteka jest. Czy sa jeszcze jakies paczki które pominąłem ? Czy poprostu program moze byc tak stary (2006) ze nie bedzie działać na 64 bitach ?

Nie chce przechodzić ma inna wersje linuxa jestem przyzwyczajony do centosa.

Próbuję zamontować po SMB udostępniony wolumin glusterowy z serwerów node1 (10.10.13.101) i node2 (10.10.13.102) i dostaję następujący komunikat:

[root@node3 log]# mount -t cifs \\\\10.10.13.101\\gluster-test-single /mnt/test-geo/ -o user=piotrek,pass=haselko
mount error(5): Input/output error
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)

Doszedłem do tego, że mogę zamontować ten zasób wyłączając SELinuxa na serwerach udostępniających gluster volume ale nie wolno mi wyłączyć SELinuxa.

Zmiany wartości zmiennych selinuxowych dot. samby, cifs a nawet allow_ypbind nie dają rezultatu i niestety nie ma możliwości zamapowania takiego zasobu bez wyłączenia SELinuxa.

Audit2allow i logi audytowe dają to:

[root@node1 samba]# more /var/log/audit/audit.log | audit2allow


#============= glusterd_t ==============
allow glusterd_t consoletype_exec_t:file { execute execute_no_trans };
allow glusterd_t file_t:file { relabelfrom relabelto };
allow glusterd_t glusterd_var_lib_t:file { execute execute_no_trans };
allow glusterd_t hostname_exec_t:file { execute execute_no_trans };
allow glusterd_t node_t:rawip_socket node_bind;

#!! This avc is a constraint violation.  You will need to add an attribute to either the source or target type to make it work.
#Contraint rule:
allow glusterd_t samba_etc_t:file create;
allow glusterd_t samba_initrc_exec_t:file { execute execute_no_trans };
allow glusterd_t self:capability net_raw;
allow glusterd_t self:rawip_socket { bind create };
allow glusterd_t smbd_exec_t:file { execute execute_no_trans };
allow glusterd_t smbd_t:process signal;
allow glusterd_t ssh_keygen_exec_t:file { execute execute_no_trans };
allow glusterd_t var_run_t:sock_file { write unlink };

#============= smbd_t ==============

#!! This avc can be allowed using the boolean 'allow_ypbind'
allow smbd_t ftp_port_t:tcp_socket name_bind;
allow smbd_t gluster_port_t:tcp_socket name_connect;

#!! This avc can be allowed using one of the these booleans:
#     samba_export_all_ro, samba_export_all_rw
allow smbd_t glusterd_conf_t:dir search;

#!! This avc can be allowed using the boolean 'allow_ypbind'
allow smbd_t hi_reserved_port_t:tcp_socket name_bind;

#!! This avc can be allowed using the boolean 'allow_ypbind'
allow smbd_t pop_port_t:tcp_socket name_bind;

#!! This avc can be allowed using the boolean 'allow_ypbind'
allow smbd_t rndc_port_t:tcp_socket name_bind;
allow smbd_t sysctl_net_t:dir search;
allow smbd_t sysctl_net_t:file read;
allow smbd_t virt_migration_port_t:tcp_socket name_connect;

Moja konfiguracja to Centos 6.6 z GlusterFS 3.6.3.

Czy ktoś z Forumowiczów ma jakiś pomysł jak obejść ten problem bez wyłączania SELinuxa?

--

Piotrek

Chciałbym spytać jaka jest prawidłowa procedura restartu klastra linuksowego?

Mam 3 node'y (wszystkie mają ten sam priorytet, nie ma quorum disk) z jakimiś działającymi serwisami i chciałbym cały klaster zrestartować.

I teraz sytuacja jest taka:

Node 1 - restartuję, serwisy się przenoszą, reboot, system wstaje, node 2 - restart, serwisy się przenoszą, reboot, system wstaje, node 3 - restart, serwisy się przenoszą, reboot, klaster wstaje.

Wszystko jest do tej pory fajnie.

Ale procedura trochę się komplikuje gdy chcę zrobić shutdown całego klastra lub zrestartować wszystkie 3 node'y jednocześnie.

Node 1 ładnie się składa, wyłącza Cluster Service Manager, deaktywuje volume group i robi piękny power down.

Node 2 przerzuca serwisy na node 3 i podobnie jak node 1 ładnie się składa.

Za to node 3 ogłasza, że cluster jest "Inquorate", próbuje się "złożyć" i zawiesza się na odmontowaniu dysków i deaktywacji volume group.

I teraz pytanie - co zrobić by i ten ostatni node ładnie się zamknął? Czy trzeba pisać jakieś specjalne skrypty albo zmieniać kolejność uruchamiania/zamykania serwisów?

Dodam, że fence_xvirt działa ale chyba nie o to chodzi.

Edycja: wygląda na to, że skrypt blkdeactivate nie wykonuje się tak jak trzeba na ostatnim "żywym" node.

Nie będę ukrywał, że to pytanie związane jest z przygotowaniami do egzaminu z klastra. Znaczącą większość materiału mam już opanowaną tylko trochę niepokoi mnie ten nieszczęsny shutdown/restart.

W warunkach jest opisane, że zmiany mają "przetrwać" reboot, ale jeśli reboot się nie wykona to nie będzie jak sprawdzić zmian ...

--

Piotrek

Siedze właśnie nad tematem fencingu dla maszyn wirtualnych.

Na hoście (Centos 6.5 + update) mam zainstalowane 3 maszyny wirtualne pracujące w klastrze (także Centos 6.5+update).

Wg materiałów RH dodałem fencing z wykorzystaniem fence_xvm (w trybie Multicast) i niestety fencing nie działa.

Puszczony jest ruch igmp na wszystkich maszynach (łącznie z hypervisorem).

Poniżej configi z hosta i config klastra:

fence_virtd.conf:

cluster.conf:

<?xml version="1.0"?><cluster config_version="75" name="cluster-1">	<clusternodes>		<clusternode name="c6-node01" nodeid="1">			<fence>				<method name="kvmfence_node01">					<device domain="c6-node01" name="kvmfence"/>				</method>			</fence>		</clusternode>		<clusternode name="c6-node02" nodeid="2">			<fence>				<method name="kvmfence_node02">					<device domain="c6-node02" name="kvmfence"/>				</method>			</fence>		</clusternode>		<clusternode name="c6-node03" nodeid="3">			<fence>				<method name="kvmfence_node03">					<device domain="c6-node03" name="kvmfence"/>				</method>			</fence>		</clusternode>	</clusternodes>	<rm>		<failoverdomains>			<failoverdomain name="domain_1" ordered="1" restricted="1">				<failoverdomainnode name="c6-node01" priority="1"/>				<failoverdomainnode name="c6-node02" priority="1"/>				<failoverdomainnode name="c6-node03" priority="1"/>			</failoverdomain>		</failoverdomains>		<resources>			<ip address="192.168.0.103/24" disable_rdisc="1" sleeptime="10"/>			<lvm name="HA-LVM" self_fence="1" vg_name="havg"/>			<apache config_file="conf/httpd.conf" name="httpd" server_root="/etc/httpd" shutdown_wait="3"/>			<fs device="/dev/havg/halv" fsid="49557" fstype="ext4" mountpoint="/var/www/html" name="wwwfs" quick_status="1" self_fence="1"/>		</resources>		<service domain="domain_1" name="www_test" recovery="relocate">			<ip ref="192.168.0.103/24"/>			<lvm ref="HA-LVM"/>			<apache ref="httpd"/>			<fs ref="wwwfs"/>		</service>	</rm>	<fencedevices>		<fencedevice agent="fence_xvm" key_file="/etc/cluster/fence_xvm.key" name="kvmfence"/>	</fencedevices>	<cman>		<multicast addr="224.0.0.0"/>	</cman></cluster>

Żeby było ciekawiej to fence_xvm z poziomu hosta hypervisora działa poprawnie. Maszyny ładnie "dostają w głowę" i się składają.

Ale nie mogę wykonać "fence_node c6-node02" z poziomu innej maszyny wirtualnej.

Czy ktoś ma jakieś pomysły co robię źle i dlaczego działa to z hypervisora a nie działa z wnętrza wirtualek? A może na CentOSie jest coś nie do końca tak samo zrobione jak na RHEL?

--

Piotrek

Mam aktualnie serwer z zewnetrznym dyskiem twardym. W ramach serwera mam dwa dyski D1 i D2 podpiete w RAID 0 (Stripe). Mam dodatkowo dysk D3 na kieszeni, na którym chcialbym trzymac backupy.

Teraz tak, poniewaz bedzie RAID 0 dla D1 i D2 to chce aby /home tez wykorzystal RAID 0 wiec nie chce go dawac na oddzielny dysk. Ten D3 bedzie sluzyl do przechowywania wiekszych danych tzn:

1. Duze pliki (Multimedia, Sklady baz danych itp)
   
2. Backup (katalog /home, pliki konfiguracyjne /etc/..., itp)
   

Chce aby struktura katalogów D3 byla podzielona na dwie czesci backupowa i skladu danych i wygladala tak:

D3
|-Backup
|   |-fullAllFilesBackup
|   |        \(...)
|   |-Yesterday
|   |-Y-1day
|   |-Y-3days
|   |-Y-6days
|   |-Y-10days
|   |-Y-15days
|   |-Y-20days
|   |-Y-30days
|
|-Data
   |-(... pliki i katalogi danych...)

Wiec struktura pelnego backupu w fullHomeCopy a potem kopii przyrostowych co kilka dni w okreslonych odstepach czasu.

Przez kopie przyrostowe rozumiem zapisywanie jedynie zmian jakie przez dany okres wykonaly sie na pelnej kopii z fullHomeCopy. Cos jak system kontroli wersji w oprogramowaniu (tak jak po commit changesety zapisuja sie do katalogu .hg ) a te podkatalogi to byly by takie changesety.

Oczywiscie w cronie trzeba dodac odpowiednie reguly jesli chodzi o okresy czasu ale:

1. Czy do tego musze zaprzegac diff i patch ?

2. Jak mozna najsensowniej takie dzialanie zaimplementowac?

3. Jakie narzedzie mozna do tego zastosowac?

4. Byc moze wynajduje kolo na nowo i sa lepsze metodologie backupowania. Jesli tak to podpowiedzcie prosze.

Z góry dzieki za Wasz czas i wskazówki.

Od pewnego czasu nurtuje mnie pytanie czy da się zrobić by w vsftpd dało się udostępnić katalog domowy użytkownika poprzec włączenie chrootowania plus jeden wybrany katalog z innej lokalizacji w moim przypadku będzie to /dokumenty który bedzie dostępny wszystkim użytkownikom. Nigdzie w internecie nie mogę znaleść na ten temat żadnych informacji.

Z góry dziękuje za pomoc i pozdrawiam.

cat /var/log/yum.log
Feb 10 15:20:41 Updated: tzdata-java-2012j-1.el6.noarch
Feb 10 15:20:43 Updated: tzdata-2012j-1.el6.noarch
Feb 10 15:20:44 Updated: kernel-headers-2.6.32-279.22.1.el6.i686
Feb 10 15:21:05 Updated: selinux-policy-3.7.19-155.el6_3.14.noarch
Feb 10 15:21:07 Updated: kernel-firmware-2.6.32-279.22.1.el6.noarch
Feb 10 15:21:13 Installed: kernel-2.6.32-279.22.1.el6.i686
Feb 10 15:21:24 Updated: glibc-common-2.12-1.80.el6_3.7.i686
Feb 10 15:21:30 Updated: glibc-2.12-1.80.el6_3.7.i686
Feb 10 15:21:32 Updated: glibc-headers-2.12-1.80.el6_3.7.i686
Feb 10 15:21:32 Updated: glibc-devel-2.12-1.80.el6_3.7.i686
Feb 10 15:21:33 Updated: perf-2.6.32-279.22.1.el6.i686
Feb 10 15:22:35 Updated: selinux-policy-targeted-3.7.19-155.el6_3.14.noarch
Feb 10 15:22:35 Updated: libxml2-2.7.6-8.el6_3.4.i686
Feb 10 15:22:36 Updated: nspr-4.9.2-0.el6_3.1.i686
Feb 10 15:22:36 Updated: cyrus-sasl-lib-2.1.23-13.el6_3.1.i686
Feb 10 15:22:36 Updated: nss-util-3.13.6-1.el6_3.i686
Feb 10 15:22:37 Updated: abrt-libs-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:37 Updated: libuuid-2.17.2-12.7.el6_3.i686
Feb 10 15:22:38 Updated: mysql-libs-5.1.67-1.el6_3.i686
Feb 10 15:22:38 Updated: freetype-2.3.11-14.el6_3.1.i686
Feb 10 15:22:39 Updated: mysql-5.1.67-1.el6_3.i686
Feb 10 15:22:40 Updated: libblkid-2.17.2-12.7.el6_3.i686
Feb 10 15:22:41 Updated: util-linux-ng-2.17.2-12.7.el6_3.i686
Feb 10 15:22:42 Updated: device-mapper-libs-1.02.74-10.el6_3.3.i686
Feb 10 15:22:42 Updated: device-mapper-1.02.74-10.el6_3.3.i686
Feb 10 15:22:42 Updated: device-mapper-event-libs-1.02.74-10.el6_3.3.i686
Feb 10 15:22:43 Updated: device-mapper-event-1.02.74-10.el6_3.3.i686
Feb 10 15:22:43 Updated: lvm2-libs-2.02.95-10.el6_3.3.i686
Feb 10 15:22:43 Updated: cyrus-sasl-2.1.23-13.el6_3.1.i686
Feb 10 15:22:44 Updated: nss-3.13.6-2.el6_3.i686
Feb 10 15:22:44 Updated: nss-sysinit-3.13.6-2.el6_3.i686
Feb 10 15:22:45 Updated: openssh-5.3p1-81.el6_3.i686
Feb 10 15:22:46 Updated: nss-tools-3.13.6-2.el6_3.i686
Feb 10 15:22:47 Updated: cyrus-sasl-gssapi-2.1.23-13.el6_3.1.i686
Feb 10 15:22:47 Updated: libreport-plugin-reportuploader-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:48 Updated: libreport-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:48 Updated: libreport-plugin-rhtsupport-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:48 Updated: libreport-python-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:49 Updated: abrt-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:49 Updated: abrt-addon-python-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:49 Updated: libreport-plugin-kerneloops-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:50 Updated: abrt-addon-kerneloops-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:50 Updated: libreport-plugin-mailx-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:50 Updated: abrt-tui-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:51 Updated: libreport-plugin-logger-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:51 Updated: libreport-cli-2.0.9-5.el6.centos.2.i686
Feb 10 15:22:52 Updated: 32:bind-libs-9.8.2-0.10.rc1.el6_3.6.i686
Feb 10 15:22:52 Updated: 32:bind-utils-9.8.2-0.10.rc1.el6_3.6.i686
Feb 10 15:22:53 Updated: libtiff-3.9.4-9.el6_3.i686
Feb 10 15:22:53 Updated: 1:cups-libs-1.4.2-48.el6_3.3.i686
Feb 10 15:22:54 Updated: cpio-2.10-11.el6_3.i686
Feb 10 15:22:54 Updated: abrt-addon-ccpp-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:55 Updated: nscd-2.12-1.80.el6_3.7.i686
Feb 10 15:22:56 Updated: ipa-python-2.2.0-17.el6_3.1.i686
Feb 10 15:22:56 Updated: abrt-cli-2.0.8-6.el6.centos.2.i686
Feb 10 15:22:56 Updated: ipa-client-2.2.0-17.el6_3.1.i686
Feb 10 15:22:57 Updated: nss-pam-ldapd-0.7.5-15.el6_3.2.i686
Feb 10 15:22:59 Updated: 1:cups-1.4.2-48.el6_3.3.i686
Feb 10 15:23:00 Updated: openssh-clients-5.3p1-81.el6_3.i686
Feb 10 15:23:02 Updated: openssh-server-5.3p1-81.el6_3.i686
Feb 10 15:23:03 Updated: cyrus-sasl-devel-2.1.23-13.el6_3.1.i686
Feb 10 15:23:03 Updated: lvm2-2.02.95-10.el6_3.3.i686
Feb 10 15:23:06 Updated: mysql-server-5.1.67-1.el6_3.i686
Feb 10 15:23:07 Updated: pango-1.28.1-7.el6_3.i686
Feb 10 15:23:14 Updated: 1:java-1.6.0-openjdk-1.6.0.0-1.54.1.11.6.el6_3.i686
Feb 10 15:23:15 Updated: 1:autofs-5.0.5-55.el6_3.i686
Feb 10 15:23:15 Updated: cyrus-sasl-plain-2.1.23-13.el6_3.1.i686
Feb 10 15:23:16 Updated: libxml2-python-2.7.6-8.el6_3.4.i686
Feb 10 15:23:16 Updated: kexec-tools-2.0.0-245.el6_3.1.i686
Feb 11 11:46:45 Installed: mongo-10gen-2.2.3-mongodb_1.i686
Feb 11 11:46:47 Installed: mongo-10gen-server-2.2.3-mongodb_1.i686
Feb 12 13:41:14 Updated: elinks-0.12-0.21.pre5.el6_3.i686

Otóz serwer ma ssh na porcie 2345. 1. w /etc/sshd_config Port 2345 2. reguły iptables:

$IPT -A INPUT  -p tcp --dport $SSH_PORT -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp --sport $SSH_PORT -m state --state ESTABLISHED     -j ACCEPT
 

gdzie port ssh to 2345

3. SELInux też ok bo setenabled działa wszystko

semanage port -l | grep 2345
ssh_port_t tcp 2345, 22
 

4.

iptables -vnL
Chain INPUT (policy DROP 150 packets, 49873 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   220 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
   24  1824 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2345 state NEW,ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0 state RELATED,ESTABLISHED 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123 state NEW 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80 
    2   426 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53 dpts:1024:65535 state ESTABLISHED 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 12 packets, 720 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   220 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
   12  1536 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:2345 state ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0 state RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 state NEW,RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    2   140 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:1024:65535 dpt:53 state NEW,ESTABLISHED 

5. SSHD też ok:

netstat -ntlp | grep :2345
tcp        0      0 0.0.0.0:2345                0.0.0.0:*                   LISTEN      4271/sshd           
tcp        0      0 :::2345                     :::*                        LISTEN      4271/sshd

A jak dam

service iptables start

to połączyć sie nie mozna po ssh.

service iptables stop

i mogę się połaczyc legalnie Co jest nie tak?