Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: и снова iptables [2]
Форумы портала PHP.SU » Серверное администрирование » Администрирование *nix » и снова iptables

Страниц (2): « 1 [2]
 

16. EuGen - 26 Января, 2013 - 13:55:08 - перейти к сообщению
Vinyl пишет:
И что значит ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ?

Это значит, что разрешен весь диапазон IPv4 адресов на указанных в каждой строке портах (Вы ведь сами это определили)

Vinyl пишет:
пробую отправить письмо - пишет "ssmtp: Cannot open smtp.yandex.ru:587" Как так?

Откуда шлете? С сервера? Тогда, очевидно, что работать не будет - Вы ведь никак не разрешаете требуемые для этого исходящие соединения (цепочка OUTPUT)
17. Vinyl - 26 Января, 2013 - 14:18:16 - перейти к сообщению
EuGen пишет:
Вы ведь никак не разрешаете требуемые для этого исходящие соединения (цепочка OUTPUT)
А как же "iptables -P OUTPUT ACCEPT"?
18. Мелкий - 26 Января, 2013 - 14:31:08 - перейти к сообщению
Есть очень полезная штука у iptables - -j LOG
Ну и, конечно, tcpdump

Vinyl пишет:
в т.ч. и 587-й (по нему яндекс-почта работает), пробую отправить письмо - пишет "ssmtp: Cannot open smtp.yandex.ru:587" Как так?

Разве требуется ещё и ставить обратное соединение?
Сдаётся мне, что локальный порт открывается где-то до 49152 порта и потому подпадает под drop.
Попробуйте iptables -A INPUT -p tcp --sport 587 -j ACCEPT
source port вместо dest.
19. Vinyl - 26 Января, 2013 - 14:58:55 - перейти к сообщению
Мелкий пишет:
Есть очень полезная штука у iptables - -j LOG
Как пользоваться? Чё-т я в мане не нашел. Может проглядел...

Мелкий пишет:
Ну и, конечно, tcpdump
CODE (shell):
скопировать код в буфер обмена
  1. ~# tcpdump -i venet0:0 src port 587
  2. tcpdump: can't create rx ring on packet socket: Cannot allocate memory
  3.  


Мелкий пишет:
Попробуйте iptables -A INPUT -p tcp --sport 587 -j ACCEPT
Попробовал. Не работает Огорчение
20. EuGen - 26 Января, 2013 - 15:07:42 - перейти к сообщению
Vinyl пишет:
А как же "iptables -P OUTPUT ACCEPT"?

Так, что я просмотрел этот факт.
Vinyl пишет:
Как пользоваться?

Так же, как Вы -j ACCEPT указываете. -j LOG заставит iptables логировать то, что происходит - так что это неплохой инструмент отладки.
21. Vinyl - 26 Января, 2013 - 15:13:16 - перейти к сообщению
С "can't create rx ring on packet socket: Cannot allocate memory" разобрался. Сам накосячил (не завершил до этого tcpdump -i venet0:0 src port 80). Но там тишина.
CODE (shell):
скопировать код в буфер обмена
  1. # tcpdump -i venet0:0  port 587
  2. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
  3. listening on venet0:0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
  4.  
  5. 0 packets captured
  6. 0 packets received by filter
  7. 0 packets dropped by kernel
В это время со второго терминала пробовал отправить почту - та же история.

EuGen пишет:
Так же, как Вы -j ACCEPT указываете
Сейчас попробую, спасибо.


(Добавление)

А куда лог пишется? Файлов с созвучным с iptables или firewall именем в /var/log/ не нашел. Ман говорит, что syslogd должен ловить, но чего-то и в syslog пусто, и в messages...

(Добавление)

Даже вот так не работает:
CODE (shell):
скопировать код в буфер обмена
  1. #!/bin/bash
  2.  
  3. iptables -F
  4. iptables -X
  5.  
  6. iptables -P INPUT DROP
  7. iptables -P OUTPUT ACCEPT
  8. iptables -P FORWARD DROP
  9.  
  10. iptables -A INPUT -i lo -j ACCEPT
  11. iptables -A OUTPUT -o lo -j ACCEPT
  12. iptables -A FORWARD -i lo -j ACCEPT
  13.  
  14. iptables -A INPUT  -p tcp --dport 20 -j ACCEPT
  15. iptables -A INPUT  -p tcp --dport 21 -j ACCEPT
  16. iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
  17. iptables -A INPUT  -p tcp --dport 80 -j ACCEPT
  18. iptables -A INPUT  -p tcp -m multiport --dports 49152:65534 -j ACCEPT
  19.  
  20. iptables -A INPUT  -p tcp --dport 587 -j ACCEPT
  21. iptables -A INPUT  -p tcp --sport 587 -j ACCEPT
  22.  
  23. iptables -A INPUT  -p udp --dport 587 -j ACCEPT
  24. iptables -A INPUT  -p udp --sport 587 -j ACCEPT
  25.  
  26. iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT
  27. iptables -A OUTPUT -p tcp --sport 587 -j ACCEPT
  28.  
  29. iptables -A OUTPUT -p udp --dport 587 -j ACCEPT
  30. iptables -A OUTPUT -p udp --sport 587 -j ACCEPT
  31.  
  32. iptables -A INPUT  -p tcp --dport 587 -j LOG
  33. iptables -A INPUT  -p tcp --sport 587 -j LOG
  34.  
  35. iptables -A OUTPUT -p tcp --dport 587 -j LOG
  36. iptables -A OUTPUT -p tcp --sport 587 -j LOG
  37.  
  38. iptables -A INPUT  -p udp --dport 587 -j LOG
  39. iptables -A INPUT  -p udp --sport 587 -j LOG
  40.  
  41. iptables -A OUTPUT -p udp --dport 587 -j LOG
  42. iptables -A OUTPUT -p udp --sport 587 -j LOG
22. EuGen - 26 Января, 2013 - 16:10:13 - перейти к сообщению
По-умолчанию в /var/log/messages
Однако там много всего остального, потому добавьте какой-нибудь префикс к сообщениям iptables, это можно сделать через --log-prefix "iptables_log" к примеру
23. Vinyl - 26 Января, 2013 - 16:12:08 - перейти к сообщению
У меня там не так много всего и я по времени смотрю. Пусто.

 

Powered by ExBB FM 1.0 RC1