Доступ к серверу извне

[Tenax.10]

Доброго времени суток! Ubuntu 14.04 выступает в роли шлюза в интернет. Одна сетевая карта смотрит в локальную сеть, другая в сеть провайдера. Подключение к интернету осуществляется с помощью VPN-соединения. Потребовалось поднять www-сервер на этой же машине и возникла следующая проблема: в сети провайдера через eth0 и во внутренней сети eth1 сервер прекрасно видно, более того, обращаясь к адресу ppp соединения сервер тоже открывается, а при доступе снаружи - тишина. На время разрешил в iptables любой трафик и выяснилось, что пинги и udp свободно ходят, а tcp закрыт. Проброса портов или каких-то других вещей нет, есть маскарадинг и всё, ufw выключен, apparmor не установлен, что можно посмотреть?

[AnrDaemon]

Посмотреть можно правила фильтрации, таблицу маршрутизации и настройки сетевых интерфейсов (конкретно адреса).

[Yuriy_Y]

Провайдер выдает серые ИПшники.

[Tenax.10]

Посмотреть можно правила фильтрации, таблицу маршрутизации и настройки сетевых интерфейсов (конкретно адреса).

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:16:76:7e:46:96
          inet addr:10.3.203.146  Bcast:10.3.203.191  Mask:255.255.255.192
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:25846 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26564 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:11362028 (11.3 MB)  TX bytes:3296516 (3.2 MB)

eth1      Link encap:Ethernet  HWaddr 1c:bd:b9:e7:76:f9
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:21386 errors:0 dropped:3 overruns:0 frame:0
          TX packets:25181 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2254908 (2.2 MB)  TX bytes:11069455 (11.0 MB)

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:92 errors:0 dropped:0 overruns:0 frame:0
          TX packets:92 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:7762 (7.7 KB)  TX bytes:7762 (7.7 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)
          inet addr:85.114.185.94  P-t-P:81.28.188.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:25143 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22081 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:9899292 (9.8 MB)  TX bytes:1834300 (1.8 MB)

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 ppp0
10.0.0.0        10.3.203.129    255.0.0.0       UG        0 0          0 eth0
10.3.203.128    0.0.0.0         255.255.255.192 U         0 0          0 eth0
62.106.124.0    10.3.203.129    255.255.255.0   UG        0 0          0 eth0
81.28.160.0     10.3.203.129    255.255.255.0   UG        0 0          0 eth0
81.28.188.1     0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
172.16.0.0      10.3.203.129    255.255.0.0     UG        0 0          0 eth0
192.168.0.0     10.3.203.129    255.255.255.0   UG        0 0          0 eth0
192.168.0.45    10.3.203.129    255.255.255.255 UGH       0 0          0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
224.2.0.0       0.0.0.0         255.255.0.0     U         0 0          0 eth0
224.2.2.0       0.0.0.0         255.255.255.0   U         0 0          0 eth0
232.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 eth0

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   
   93  6433 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0   
 1094  218K ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0   
  545 28539 ACCEPT     all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0   

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   82  4256 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU
 1050  222K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  eth1   ppp0    0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  eth0   ppp0    0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  ppp0   eth1    0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  ppp0   eth0    0.0.0.0/0            0.0.0.0/0   

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0   
  150 23081 ACCEPT     all  --  *      eth1    0.0.0.0/0            0.0.0.0/0   
 1262  159K ACCEPT     all  --  *      eth0    0.0.0.0/0            0.0.0.0/0   
  544 25900 ACCEPT     all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0

1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла.

--Azure

[fisher74]

Правила сетевой фильтрации:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   
   93  6433 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0   
 1094  218K ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
...

Это не правила фильтрации, а счётчики фильтров.

Загруженные правила можно так посмотреть

Код: [Выделить]

sudo iptables-save

[Tenax.10]

Это не правила фильтрации, а счётчики фильтров.

Загруженные правила можно так посмотреть

Код: [Выделить]

sudo iptables-save

Прошу прощения! Изначально всё запрещено, затем явно указывалось, что разрешать, проставил везде ACCEPT, поэтому за дублирование правил сильно не пинайте!

Код: (html5) [Выделить]

# Generated by iptables-save v1.4.21 on Mon May 16 11:50:33 2016
*mangle
:PREROUTING ACCEPT [659560:258301457]
:INPUT ACCEPT [248235:120628659]
:FORWARD ACCEPT [411189:137668446]
:OUTPUT ACCEPT [239856:39403713]
:POSTROUTING ACCEPT [651291:177090395]
COMMIT
# Completed on Mon May 16 11:50:33 2016
# Generated by iptables-save v1.4.21 on Mon May 16 11:50:33 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -j ACCEPT
-A FORWARD -i ppp0 -o eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
COMMIT
# Completed on Mon May 16 11:50:33 2016
# Generated by iptables-save v1.4.21 on Mon May 16 11:50:33 2016
*nat
:PREROUTING ACCEPT [16669:971341]
:INPUT ACCEPT [12936:755759]
:OUTPUT ACCEPT [31:6648]
:POSTROUTING ACCEPT [31:6648]
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
COMMIT


[AnrDaemon]

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Это правило работать не будет.
Где у вас разрешен трафик для WWW сервера, я не вижу. (в предположении, что по умолчанию всё запрещено…)
И вообще, показывайте реальные правила, так проще и вам и нам.

[fisher74]

Если это реальные правила, то Вам следует обратиться в ТП провайдера.

[Tenax.10]

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Это правило работать не будет.
Где у вас разрешен трафик для WWW сервера, я не вижу. (в предположении, что по умолчанию всё запрещено…)
И вообще, показывайте реальные правила, так проще и вам и нам.

У меня в правилах всё разрешено, выше я привел список - любой траффик на ACCEPT, отдельно указывать разрешение на что-то еще не требуется, я эти строчки закомментировал, чтобы в глаза не били, но и с ними так же работать не будет. Если убрать правило A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu, то почти ни один сайт не открывается, там всё верно...
Пользователь добавил сообщение 16 Мая 2016, 14:35:44:

Если это реальные правила, то Вам следует обратиться в ТП провайдера.

Может это быть как-то связано с gre? В modprobe дополнительно указывал ip_gre и ip_nat_pptp. С ними и без них разницы нет никакой

[AnrDaemon]

Значит вы врёте и у вас не Ubuntu.
Потому что это правило в filter не работает, только в mangle.

Не надо гадать, надо снять трубку, позвонить в ТП провайдера и поинтересоваться наличием фильтрации входящих соединений.

[Tenax.10]

Значит вы врёте и у вас не Ubuntu.
Потому что это правило в filter не работает, только в mangle.

Не надо гадать, надо снять трубку, позвонить в ТП провайдера и поинтересоваться наличием фильтрации входящих соединений.

Угу или Вы больше раздутый пузырь, чем что-то другое. Во всяком случае именно так и работает. В конфигурации с роутером пакеты прекрасно приходят, так что незачем провайдера беспокоить, просто поставлю другую нормальную ОС. Спасибо за консультацию.

[Doctor_y]

Доброго времени суток! Ubuntu 14.04 выступает в роли шлюза в интернет. Одна сетевая карта смотрит в локальную сеть, другая в сеть провайдера. Подключение к интернету осуществляется с помощью VPN-соединения. Потребовалось поднять www-сервер на этой же машине и возникла следующая проблема: в сети провайдера через eth0 и во внутренней сети eth1 сервер прекрасно видно, более того, обращаясь к адресу ppp соединения сервер тоже открывается, а при доступе снаружи - тишина. На время разрешил в iptables любой трафик и выяснилось, что пинги и udp свободно ходят, а tcp закрыт. Проброса портов или каких-то других вещей нет, есть маскарадинг и всё, ufw выключен, apparmor не установлен, что можно посмотреть?

Чтобы повесить Apache на сервер, никаких настроек на своем сервере трогать не надо. Если из внутренней сети сервер отвечает на внешний IP-шник, то с твоей стороны все в порядке. Снаружи сделай трассировку до своего внешнего IP и поймешь где затык. Хоть со смартфона.
Пользователь добавил сообщение 16 Мая 2016, 18:37:00:Не поленился, сделал это за тебя.
1. Твой адрес не пингуется из Интернета. Вывод - серый адрес сети провайдера.
2. Затык на IP 81.28.160.45 Дальше нет ответа.
Так что провайдера побеспокоить придется. Или не будет у тебя внешнего WEB-сервера на любой системе.

[fisher74]

ТС уже обиделся и ушёл. А не пионговаться может даже из-за того что ун уже устанавливает "другую нормальную ОС".

(Нажмите, чтобы показать/скрыть)

Что мешает танцорам все помним, да?

[bukass]

fisher74, pppoe жеж, сессию дернул - поменялся IP.
Tenax.10, Иногда люди бывают злыми по жизни, учись не обращать внимания.

[Tenax.10]

Не поленился, сделал это за тебя.
1. Твой адрес не пингуется из Интернета. Вывод - серый адрес сети провайдера.
2. Затык на IP 81.28.160.45 Дальше нет ответа.
Так что провайдера побеспокоить придется. Или не будет у тебя внешнего WEB-сервера на любой системе.

Сессию обрывал, IP адрес сменился. Дело в том, я извиняюсь, что повторюсь, при полностью "открытых вратах", пинги и вообще udp отлично доходит, скан портов так же говорит, что порты udp открыты и при этих же условиях с теми же правилами "всё открыто", нет tcp. Мой скудный ум увязывает эти события с тем, что я что-то должен сделать с pptp.
Пользователь добавил сообщение 16 Мая 2016, 21:12:59:

ТС уже обиделся и ушёл. А не пионговаться может даже из-за того что ун уже устанавливает "другую нормальную ОС".

(Нажмите, чтобы показать/скрыть)

Что мешает танцорам все помним, да?

Ну, посмотрите с моей стороны. Прежде чем задать вопрос, сделал все действия самостоятельно. В гугле набрал, как примонтировать флешку в линукс, как поднять PPPOE, настроить iptables и насколько смог задал по сухому вопросы и, как смог, ответил, так же загуглив, что от меня хотят гуру, а мне говорят, что я врун и просто что-то мне мешает. Сейчас просто на другой машинке поднимаю на другом дистрибутиве линукс, основанном на Red Hat Enterprise Linux, что мне остается делать?