Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: открыть порт  (Прочитано 1854 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн s8ss8s

  • Автор темы
  • Участник
  • *
  • Сообщений: 242
    • Просмотр профиля
Re: открыть порт
« Ответ #15 : 01 Сентября 2014, 20:16:59 »
Не мешай господам спорить :)
см. ссылку, которую я оставил - первый ответ в ней.
простите простите я вот тут в сторонке постою послушаю =)
Мда linux вроде и все просто но разбираться в нем и разбираться  :idiot2:

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: открыть порт
« Ответ #16 : 01 Сентября 2014, 20:54:37 »
.ubuntufan, давайте применим логику…
В качестве аксиомы возьмём отсутствие каких бы то ни было правил на дефолтной системе.
Теперь допустим, что порты закрыты, как нам и пожаловался ТС.
(Это допущение может быть ошибочно.)
Второе допущение в том, что порты действительно закрыты фаерволом.
(И это допущение, строго говоря, тоже может быть ошибочно.)
Но если сделанные нами допущения верны, значит в системе уже настроен какой-то механизм загрузки правил.
А 2 несогласованных механизма загрузки правил приводят вот к таким весёлым штукам:
https://bugzilla.redhat.com/show_bug.cgi?id=1067147

Оффлайн s8ss8s

  • Автор темы
  • Участник
  • *
  • Сообщений: 242
    • Просмотр профиля
Re: открыть порт
« Ответ #17 : 01 Сентября 2014, 21:31:54 »
а что будет если отключить этот iptables вообще ?
Мда linux вроде и все просто но разбираться в нем и разбираться  :idiot2:

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: открыть порт
« Ответ #18 : 01 Сентября 2014, 22:05:53 »
iptables - это инструмент управления правилами. Его нельзя включить или выключить.
А netfilter(собственно брандмауэр) - часть ядра. Не выключается вообще.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн .ubuntufan

  • Активист
  • *
  • Сообщений: 638
    • Просмотр профиля
Re: открыть порт
« Ответ #19 : 01 Сентября 2014, 22:55:00 »
ArcFi
Ну в этом плане можно не строить предположение а спросить у ТС:

Используется ли уже в системе какой нибудь механизм загрузки правил?
И можно вывод sudo iptables --list после загрузки системы?

AnrDaemon говорит правильно, единственно что я уточню - есть возможность сбросить установленные правила. Соответственно в таком случае не будет никаких ограничений.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: открыть порт
« Ответ #20 : 01 Сентября 2014, 23:13:16 »
Не выключается вообще.
Выключить можно
CONFIG_NETFILTER=n
Но это для гиков )))

Где это сделать не буду писать. Кто понимает, тот  знает где это и как.

Оффлайн s8ss8s

  • Автор темы
  • Участник
  • *
  • Сообщений: 242
    • Просмотр профиля
Re: открыть порт
« Ответ #21 : 01 Сентября 2014, 23:25:58 »
Используется ли уже в системе какой нибудь механизм загрузки правил?

я еще не успел установить правила если только этого не сделал почтовый сервер ... как можно узнать есть или нет ?


И можно вывод sudo iptables --list после загрузки системы?


Вот вывод после перезагрузки системы

server@mail:~# sudo iptables --list
Chain INPUT (policy DROP)
target     prot opt source               destination         
fail2ban-postfix  tcp  --  anywhere             anywhere            multiport dports www,https,smtp,ssmtp,pop3,pop3s,imap2,imaps,cisco-sccp
fail2ban-dovecot  tcp  --  anywhere             anywhere            multiport dports www,https,smtp,ssmtp,pop3,pop3s,imap2,imaps,cisco-sccp
fail2ban-ssh  tcp  --  anywhere             anywhere            tcp dpt:ssh
fail2ban-roundcube  tcp  --  anywhere             anywhere            multiport dports www,https,smtp,ssmtp,pop3,pop3s,imap2,imaps,cisco-sccp
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            multiport dports www,https,smtp,ssmtp,pop3,pop3s,imap2,imaps,submission,ssmtp,ssh
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-dovecot (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere           

Chain fail2ban-postfix (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere           

Chain fail2ban-roundcube (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere           

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere           
server@mail:~#


AnrDaemon говорит правильно, единственно что я уточню - есть возможность сбросить установленные правила. Соответственно в таком случае не будет никаких ограничений.

AnrDaemon ему вообще респект и уважуха сколько раз помог уже =) я в принципе не против сбросить все что бы не было ограничений лишь бы на серваке не как это не отразилось а точнее на защиту сервака .

Пользователь решил продолжить мысль 01 Сентября 2014, 23:28:20:
Не выключается вообще.
Выключить можно
CONFIG_NETFILTER=n
Но это для гиков )))

Где это сделать не буду писать. Кто понимает, тот  знает где это и как.

А можете написать как сохранить открытые порты а то у меня уже в глаза в кучу отразных решений которые не работают (((
« Последнее редактирование: 01 Сентября 2014, 23:28:20 от s8ss8s »
Мда linux вроде и все просто но разбираться в нем и разбираться  :idiot2:

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: открыть порт
« Ответ #22 : 01 Сентября 2014, 23:49:23 »
Вообще-то в топике уже три способа привели.
А у вас явно какой-то ещё чётвёртый крутится.

.ubuntufan,
(Нажмите, чтобы показать/скрыть)
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: открыть порт
« Ответ #23 : 02 Сентября 2014, 00:03:33 »
Cудя по списку правил, там уже fail2ban почивает...

Оффлайн s8ss8s

  • Автор темы
  • Участник
  • *
  • Сообщений: 242
    • Просмотр профиля
Re: открыть порт
« Ответ #24 : 02 Сентября 2014, 00:22:03 »
все вопрос вроде как решил ... зешел я в терминал набрал там nano /etc/rc.local и перед exit 0 вставил

iptables -A INPUT -p tcp --dport 27225 -j ACCEPT && iptables -A INPUT -p udp --dport 27225 -j ACCEPT

сделал reboot и все заработало норм )))
Мда linux вроде и все просто но разбираться в нем и разбираться  :idiot2:

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: открыть порт
« Ответ #25 : 02 Сентября 2014, 01:16:12 »
Обратите внимание - никто из нас вам этот костыль не предлагал подставлять.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн s8ss8s

  • Автор темы
  • Участник
  • *
  • Сообщений: 242
    • Просмотр профиля
Re: открыть порт
« Ответ #26 : 02 Сентября 2014, 06:43:10 »
Обратите внимание - никто из нас вам этот костыль не предлагал подставлять.
обратил ... а как я сделал очень плохо ?? если да то тогда чем ?
« Последнее редактирование: 02 Сентября 2014, 14:51:29 от s8ss8s »
Мда linux вроде и все просто но разбираться в нем и разбираться  :idiot2:

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: открыть порт
« Ответ #27 : 02 Сентября 2014, 15:50:18 »
rc.local выполняется один раз при старте системы.
По большому счёту, этот скрипт - хак для выполнения программ, для которых не написано полноценного сервиса.
Это вдвойне касается настроек, связанных с сетью, поскольку сетевые интерфейсы могут появляться и удаляться во время работы системы.
Хотя в вашем случае будет достаточно просто добавить исключения. Проблема именно в самом "добавить", поскольку у вас уже стоит загрузка правил - от Fail2Ban.
Разберитесь, откуда он их грузит, поскоьку вам надо добавить свои правила после его правил.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн s8ss8s

  • Автор темы
  • Участник
  • *
  • Сообщений: 242
    • Просмотр профиля
Re: открыть порт
« Ответ #28 : 02 Сентября 2014, 19:46:16 »
rc.local выполняется один раз при старте системы.
По большому счёту, этот скрипт - хак для выполнения программ, для которых не написано полноценного сервиса.
Это вдвойне касается настроек, связанных с сетью, поскольку сетевые интерфейсы могут появляться и удаляться во время работы системы.
Хотя в вашем случае будет достаточно просто добавить исключения. Проблема именно в самом "добавить", поскольку у вас уже стоит загрузка правил - от Fail2Ban.
Разберитесь, откуда он их грузит, поскоьку вам надо добавить свои правила после его правил.

спасибо за этот ответ сейчас доделаю все что надо и буду искать откуда ноги растут )
Мда linux вроде и все просто но разбираться в нем и разбираться  :idiot2:

 

Страница сгенерирована за 0.052 секунд. Запросов: 25.