Dziwna Sytuacja - Zablokowane Porty - F18

[molek1]

Mam dziwną sytuację: Fedora 18, wyłączony selinux. Miałem otwarte porty na ruch przychodzący: 22, 80, 443, 139. Musiałem dać dostęp do MySQL, więc próbowałem dodać regułę do iptables - bez rezultatu. Poszedłem do komputera i próbowałem skorzystać z graficznego narzędzia. Niestety i to nie przyniosło rezultatów. Próbowałem użyć firewall-cmd - również bez efektu.

W wyniku tych działać zablokowany został port 22 i tym samym nie mogę już nic zdalnie robić.

Próbowałem wyłączać firewall'a (systemctl stop firewalld.service ) również bez rezultatu.

W plikach stref firewall, w strefie public miałem wpis dotyczący portu 3306, a mimo to port był cały czas zamknięty.

odinstalowałem firewall. iptables -S pokazało mi reguły otwierające porty (zarówno 22 jak i 3306) lecz i tak nie miałem ich dostępnych.

Wyczyściłem reguły iptables i ustawiłem INPUT, OUTPUT i FORWARD na ACCEPT i nadal nic.

 

Nie wiem gdzie szukać przyczyny.

Ma ktoś jakikolwiek pomysł?

[@WalDo]

Zdecyduj się z czym walczysz. Albo firewalld albo iptables Razem raczej nie będą działać albo przynajmniej wzajemnie będą sobie przeszkadzać.

IMHO łatwiej opanować iptables niż firewalld, więc może "stop" i "disable" na firewalld a "enable" i "start" na iptables?

 

firewalld to fajna rzecz, ale raczej na urzadzenia mobilne (ze względu na możliwość zdefiniowania stref). Stacjonarnie wg mnie zdecydowanie lepiej sprawdzi się stary dobry iptables.

[molek1]

Mam wyłączone firewalld i włączone iptables z regułami:

iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i p2p1 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 139 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 53 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

Skaner portów pokazuje mi otwarte porty 80 i 139 - www i smb działają poprawnie, a ssh mam blokowane!

Nie mam pojęcia gdzie szukać przyczyny.

[Mentat]

A usługa sshd na pewno działa? Sprawdź czy nasłuchuje:

netstat -net -l

[molek1]

Nasłuchuje.

[Mentat]

Dziwna sprawa że iptables pokazuje coś a faktyczny stan jest inny. Może zrestartuj iptables?

systemctl restart iptables

Na pewno nie ma błędów żadnych? (jestes pewny że sprawdzasz tą stację a nie inną? )
 

[Miszcz]

Może to problem z usługą a nie firewallem? Sprawdź logi.

[molek1]

Zrobiłem sobie małe wakacje od komputerów...

Problem był z usługą - niby sshd nasłuchiwało i było włączone, ale nawet lokalnie nie szło się połączyć.

Stawiałem ewidentnie na zaporę, gdyż uruchomiłem też serwer MySQL, który lokalnie działał poprawnie i choć nie miał ograniczeń logowania do localhosta, to (_wogule_ → w ogóle) ORT nie podpowiadał na próby połączenia się z zewnątrz, a skaner portów pokazywał zamknięty port 3306. Dodałem usera innego niż root, wraz z uprawnieniami łączenia się z dowolnego ip i serwer mam dostępny z zewnątrz, lecz skaner portów nadal twierdzi że port jest zamknięty.

Tak więc dziękuję za zaangażowanie, a szczególnie za sugestię przejrzenia logów.