Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: и снова iptables [2]

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

На главную страницу форума

Главная

Помощь

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

и снова iptables

Форумы портала PHP.SU » Серверное администрирование » Администрирование *nix (Модератор: EuGen)

Страниц (2): « 1 [2]

Без описания

Поиск в теме | Версия для печати

EuGen	Отправлено: 26 Января, 2013 - 13:55:08
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Vinyl пишет: И что значит ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ? Это значит, что разрешен весь диапазон IPv4 адресов на указанных в каждой строке портах (Вы ведь сами это определили) Vinyl пишет: пробую отправить письмо - пишет "ssmtp: Cannot open smtp.yandex.ru:587" Как так? Откуда шлете? С сервера? Тогда, очевидно, что работать не будет - Вы ведь никак не разрешаете требуемые для этого исходящие соединения (цепочка OUTPUT) ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Vinyl	Отправлено: 26 Января, 2013 - 14:18:16
Частый посетитель Покинул форум Сообщений всего: 645 Дата рег-ции: Янв. 2012 Откуда: Армавир, Краснодарский край Помог: 15 раз(а)	EuGen пишет: Вы ведь никак не разрешаете требуемые для этого исходящие соединения (цепочка OUTPUT) А как же "iptables -P OUTPUT ACCEPT"? ----- Пессимисты пользуются die(), оптимисты - exit()

Мелкий	Отправлено: 26 Января, 2013 - 14:31:08
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Есть очень полезная штука у iptables - -j LOG Ну и, конечно, tcpdump Vinyl пишет: в т.ч. и 587-й (по нему яндекс-почта работает), пробую отправить письмо - пишет "ssmtp: Cannot open smtp.yandex.ru:587" Как так? Разве требуется ещё и ставить обратное соединение? Сдаётся мне, что локальный порт открывается где-то до 49152 порта и потому подпадает под drop. Попробуйте iptables -A INPUT -p tcp --sport 587 -j ACCEPT source port вместо dest. ----- PostgreSQL DBA

Vinyl	Отправлено: 26 Января, 2013 - 14:58:55
Частый посетитель Покинул форум Сообщений всего: 645 Дата рег-ции: Янв. 2012 Откуда: Армавир, Краснодарский край Помог: 15 раз(а)	Мелкий пишет: Есть очень полезная штука у iptables - -j LOG Как пользоваться? Чё-т я в мане не нашел. Может проглядел... Мелкий пишет: Ну и, конечно, tcpdump CODE (shell): скопировать код в буфер обмена ~# tcpdump -i venet0:0 src port 587 tcpdump: can't create rx ring on packet socket: Cannot allocate memory Мелкий пишет: Попробуйте iptables -A INPUT -p tcp --sport 587 -j ACCEPT Попробовал. Не работает ----- Пессимисты пользуются die(), оптимисты - exit()

EuGen	Отправлено: 26 Января, 2013 - 15:07:42
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Vinyl пишет: А как же "iptables -P OUTPUT ACCEPT"? Так, что я просмотрел этот факт. Vinyl пишет: Как пользоваться? Так же, как Вы -j ACCEPT указываете. -j LOG заставит iptables логировать то, что происходит - так что это неплохой инструмент отладки. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Vinyl	Отправлено: 26 Января, 2013 - 15:13:16
Частый посетитель Покинул форум Сообщений всего: 645 Дата рег-ции: Янв. 2012 Откуда: Армавир, Краснодарский край Помог: 15 раз(а)	С "can't create rx ring on packet socket: Cannot allocate memory" разобрался. Сам накосячил (не завершил до этого tcpdump -i venet0:0 src port 80). Но там тишина. CODE (shell): скопировать код в буфер обмена # tcpdump -i venet0:0 port 587 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on venet0:0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes 0 packets captured 0 packets received by filter 0 packets dropped by kernel В это время со второго терминала пробовал отправить почту - та же история. EuGen пишет: Так же, как Вы -j ACCEPT указываете Сейчас попробую, спасибо. (Добавление) А куда лог пишется? Файлов с созвучным с iptables или firewall именем в /var/log/ не нашел. Ман говорит, что syslogd должен ловить, но чего-то и в syslog пусто, и в messages... (Добавление) Даже вот так не работает: CODE (shell): скопировать код в буфер обмена #!/bin/bash iptables -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A FORWARD -i lo -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m multiport --dports 49152:65534 -j ACCEPT iptables -A INPUT -p tcp --dport 587 -j ACCEPT iptables -A INPUT -p tcp --sport 587 -j ACCEPT iptables -A INPUT -p udp --dport 587 -j ACCEPT iptables -A INPUT -p udp --sport 587 -j ACCEPT iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT iptables -A OUTPUT -p tcp --sport 587 -j ACCEPT iptables -A OUTPUT -p udp --dport 587 -j ACCEPT iptables -A OUTPUT -p udp --sport 587 -j ACCEPT iptables -A INPUT -p tcp --dport 587 -j LOG iptables -A INPUT -p tcp --sport 587 -j LOG iptables -A OUTPUT -p tcp --dport 587 -j LOG iptables -A OUTPUT -p tcp --sport 587 -j LOG iptables -A INPUT -p udp --dport 587 -j LOG iptables -A INPUT -p udp --sport 587 -j LOG iptables -A OUTPUT -p udp --dport 587 -j LOG iptables -A OUTPUT -p udp --sport 587 -j LOG (Отредактировано автором: 26 Января, 2013 - 15:54:33) ----- Пессимисты пользуются die(), оптимисты - exit()

EuGen	Отправлено: 26 Января, 2013 - 16:10:13
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	По-умолчанию в /var/log/messages Однако там много всего остального, потому добавьте какой-нибудь префикс к сообщениям iptables, это можно сделать через --log-prefix "iptables_log" к примеру ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Vinyl	Отправлено: 26 Января, 2013 - 16:12:08
Частый посетитель Покинул форум Сообщений всего: 645 Дата рег-ции: Янв. 2012 Откуда: Армавир, Краснодарский край Помог: 15 раз(а)	У меня там не так много всего и я по времени смотрю. Пусто. ----- Пессимисты пользуются die(), оптимисты - exit()

Поиск в теме | Версия для печати

Страниц (2): « 1 [2]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Администрирование *nix »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.

Powered By MySQL

Powered by Nginx

Powered by ExBB FM 1.0 RC1. InvisionExBB