Форумы портала PHP.SU :: Версия для печати :: Какие порты оставить открытыми?

1. Vinyl - 24 Ноября, 2012 - 20:44:41 - перейти к сообщению

Всем доброго времени и хорошего настроения =)
На сервере Debian 6. Два вопроса:

1. Стоит ли пользоваться arno-iptables-firewall? Мне показалось удобным. Если нет, то почему?

2. Какие UDP-порты оставить открытыми? Будут работать только http и ftp серверы.

Про UDP вообще понять не могу. Из википедии:

Цитата:

22/TCP,UDP - протокол SSH (Secure SHell)

т.е., если я закрою 22-й UDP, у меня перестанет работать SSH? А по TCP он разве не работает? Разницу между протоколами знаю, а вот какой программе нужен UDP-порт, а какой нет - не знаю. Как определить?

Спасибо!

2. EuGen - 24 Ноября, 2012 - 21:04:46 - перейти к сообщению

Vinyl пишет:

Мне показалось удобным

Если Вам кажется удобным и функционал устраивает - что мешает использовать?

Vinyl пишет:

Будут работать только http и ftp серверы

Сообразно этого, номера портов по-умолчанию: 80, 20,21 - нужно оставить открытыми. Остальное - в зависимости от нужд. Например, 53-й порт, я думаю, тоже следует оставить (как порт, используемый для DNS-запросов) - так что смотрите по тому, что требуется.

Vinyl пишет:

т.е., если я закрою 22-й UDP, у меня перестанет работать SSH?

Если ssh-сервис слушает на порте по-умолчанию, то - да, перестанет. Однако ничто не мешает определить в настройках ssh-сервиса другой порт.

Vinyl пишет:

А по TCP он разве не работает?

Вы путаете TCP/UDP протоколы (4-го, то есть, транспортного, уровня), и SSH - протокол более высокого уровня (если быть точным, то он объединяет в себе уровни транспорта, аутентификации пользователя и соединения).

3. Vinyl - 24 Ноября, 2012 - 21:22:59 - перейти к сообщению

EuGen, спасибо!

P.S. Моё "спасибо" у Вас 444-e))

4. DeepVarvar - 24 Ноября, 2012 - 22:17:37 - перейти к сообщению

для нормальной работы FTP 21 порта не достаточно.
нужны все эти:
21 для команд, 20 для данных, 49152-65534 выбирает динамически для транзакций.

5. Vinyl - 25 Ноября, 2012 - 08:12:52 - перейти к сообщению

DeepVarvar, спасибо.

arno-iptables-firewall почему-то ставиться не хочет. Пол ночи с ним пропарился. Чему-то каких-то модулей не хватает. Переставил iptables - без толку. На прошлом VPS таких проблем не было.

Спойлер (Отобразить)

Setting up arno-iptables-firewall (1.9.2.k-4) ...
Restarting Arno's Iptables Firewall...
/sbin/modprobe ip_tables: Module not found! Assuming compiled-in-kernel!
WARNING: (1) Module(s) "nf_conntrack|ip_conntrack" failed to load. Assuming compiled-in-kernel!
WARNING: (1) Module(s) "nf_conntrack_ftp|ip_conntrack_ftp" failed to load. Assuming compiled-in-kernel!
WARNING: (1) Module(s) "xt_conntrack|ipt_conntrack" failed to load. Assuming compiled-in-kernel!
WARNING: (1) Module(s) "xt_limit|ipt_limit" failed to load. Assuming compiled-in-kernel!
WARNING: (1) Module(s) "xt_state|ipt_state" failed to load. Assuming compiled-in-kernel!
WARNING: (1) Module(s) "xt_multiport|ipt_multiport" failed to load. Assuming compiled-in-kernel!
/sbin/modprobe iptable_filter: Module not found! Assuming compiled-in-kernel!
/sbin/modprobe iptable_mangle: Module not found! Assuming compiled-in-kernel!
/sbin/modprobe ipt_REJECT: Module not found! Assuming compiled-in-kernel!
/sbin/modprobe ipt_LOG: Module not found! Assuming compiled-in-kernel!
WARNING: (1) Module(s) "xt_TCPMSS|ipt_TCPMSS" failed to load. Assuming compiled-in-kernel!
WARNING: (1) Module(s) "xt_DSCP|ipt_DSCP|ipt_TOS" failed to load. Assuming compiled-in-kernel!
/sbin/sysctl -w net.nf_conntrack_max=16384: (255) error: permission denied on key 'net.nf_conntrack_max'
ERROR: Unable to find kernel parameters "net.nf_conntrack_max=16384|net.ipv4.net filter.ip_conntrack_max=16384|net.ipv4.ip_conntrack_max=16384"!
sysctl -w net.ipv4.tcp_window_scaling=1: (255) error: permission denied on key 'net.ipv4.tcp_window_scaling'
sysctl -w net.ipv4.tcp_timestamps=1: (255) error: permission denied on key 'net.ipv4.tcp_timestamps'
sysctl -w net.ipv4.tcp_sack=1: (255) error: permission denied on key 'net.ipv4.tcp_sack'
sysctl -w net.ipv4.tcp_dsack=1: (255) error: permission denied on key 'net.ipv4.tcp_dsack'
sysctl -w net.ipv4.tcp_fack=1: (255) error: permission denied on key 'net.ipv4.tcp_fack'
sysctl -w net.ipv4.tcp_low_latency=0: (255) error: permission denied on key 'net.ipv4.tcp_low_latency'
sysctl -w net.ipv4.tcp_fin_timeout=30: (255) error: permission denied on key 'net.ipv4.tcp_fin_timeout'
sysctl -w net.ipv4.tcp_keepalive_time=1800: (255) error: permission denied on key 'net.ipv4.tcp_keepalive_time'
sysctl -w net.ipv4.tcp_syn_retries=3: (255) error: permission denied on key 'net.ipv4.tcp_syn_retries'
sysctl -w net.ipv4.tcp_synack_retries=2: (255) error: permission denied on key 'net.ipv4.tcp_synack_retries'
sysctl -w net.ipv4.tcp_rfc1337=1: (255) error: permission denied on key 'net.ipv4.tcp_rfc1337'
sysctl -w net.ipv4.ip_local_port_range=327 68 61000: (255) error: permission denied on key 'net.ipv4.ip_local_port_range'
sysctl -w net.ipv4.ip_default_ttl=64: (255) error: permission denied on key 'net.ipv4.ip_default_ttl'
sysctl -w net.ipv4.tcp_ecn=0: (255) error: permission denied on key 'net.ipv4.tcp_ecn'
sysctl -w net.ipv4.ip_dynaddr=1: (255) error: permission denied on key 'net.ipv4.ip_dynaddr'
sysctl -w net.ipv4.ip_no_pmtu_disc=0: (255) error: permission denied on key 'net.ipv4.ip_no_pmtu_disc'
/sbin/iptables: (3) WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Module ip_tables not found.
iptables v1.4.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
/sbin/iptables: (3) WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Module ip_tables not found.
iptables v1.4.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

6. Мелкий - 25 Ноября, 2012 - 10:09:22 - перейти к сообщению

Что за VPS? Если openvz - закономерно к настройкам ядру и модулей вы доступа не имеете.

7. Vinyl - 25 Ноября, 2012 - 10:26:31 - перейти к сообщению

Мелкий пишет:

Если openvz

Так и есть

Мелкий пишет:

закономерно к настройкам ядру и модулей вы доступа не имеете.

Видимо, без arno-iptables-firewall придется жить? А жаль. С iptables никак нервов не хватает разобраться.

8. Мелкий - 25 Ноября, 2012 - 11:20:08 - перейти к сообщению

На сколько понимаю по ошибкам - там и сам iptables урезан. sysctl менять не будут, а вот модули техподдержка может и включить, если попросить.

9. Vinyl - 25 Ноября, 2012 - 14:27:36 - перейти к сообщению

Мелкий, спасибо. Пока попробую с настройкой iptables разобраться, а если в очередной раз не получится - напишу в поддержку.