Firewoll, Webmin и php-скрипты

[SeVlad]

Просветите, плз, нуба.

Исходные данные - apache и webmin.

На апаче имеется скрипт, который постит в Вордпресс (скорее всего по XML-RPC, но я не до конца в этом уверен). ВП установлен на этом же сервере (локалхост или виртуалхост - не суть важно).

Если в вебмине включить фаер (по предустановкам "Блокировать всё кроме портов используемых для виртуального хостинга, на интерфейсе"), то постинг не идет - скрипт сообщает о таймауте.

Где посмотреть и как определить, что нужно разрешить в фаере?

И попутно еще вопрос (сорри за ламерство) - разве UFW и фаер, что управляется через вебмин -разные фаеры? Вопрос возник, потому что если в вебмине включить фаер. а в консоли посмотреть

Код: [Выделить]

sudo ufw status, то ответ - неактивен (хотя точно работает, поскольку постинг в вордпресс не идет)

[AnrDaemon]

Фаер один, но ни то ни друго им не является.
Брандмауэр Linux - netfilter - является частью ядра системы.
ufw - всего лишь оболочка его настройки. "ufw status" никак не отображает статус брандмауэра, только статус самой оболочки. Лучше ufw вообще снести, так же как не стоит пользоваться вебмином для настройки фильтрации.
Руками проще и быстрее нужные правила написать. Тем более что их надо не так много для домашнего использования.

[SeVlad]

Фаер один, но ни то ни друго им не является.

ааа, понятно..

Руками проще и быстрее нужные правила написать. Тем более что их надо не так много для домашнего использования.

Я бы согласился, если бы знал что где как. Тем более, что мне нужно будет периодически блокировать некоторые инет-адреса и приложения. (Я вообще был уверен, что фаер работает и только сегодня в вебмине увидел, что это не так)

К тому же "домашнее пользование" у меня состоит из апача, php и пр. серверных примочек (отладка и "эксплуатация" вэб-серверных приложений).

Так как насчёт моего главного вопроса - где посмотреть что куда ломится и не пускает? как "это" потом разрешить?

[AnrDaemon]

Ещё раз - "фаер" работает всегда. Это часть ядра. Но по умолчанию он пропускает все пакеты невозбранно.
Как настроить - вам в "iptables для новичков". Там и примеры, и обсуждения, и ссылки на документацию, и всё прочее.

[SeVlad]

Ещё раз - "фаер" работает всегда. Это часть ядра. Но по умолчанию он пропускает все пакеты невозбранно.

ОК, я понял. Выразился не  верно (что это за работа, если всё разрешено? читай - не выполняет функции фаера Разве что создаёт доп. нагрузку на систему.)

Как настроить - вам в "iptables для новичков". Там и примеры, и обсуждения, и ссылки на документацию, и всё прочее.

Если речь об этом топике (февраль 2008 г.!!!), то оно конечно.. ещё полгода и я наверное узнаю путь логов фаера... И наверное САМ разберусь что там как и что как надо делать.. Только нафига я тогда конкретные вопросы на форуме задаю? А?

[AnrDaemon]

Да, об этом топике. Можно читать с конца... не пробовали?

На ваши конкретные вопросы ответ - цитата половины первой главы руководства по iptables с выдержками из других частей.
Но если совсем коротко - вы не то и не там включаете.

Говоря о логах - логов фаервола нет, если только вы сами их не настраивали.

[SeVlad]

AnrDaemon, я все понимаю... Вы продаёте блюдечки.. Я не Ваш клиент. Посему больше не стоит трудиться мне "помогать". Я спрашивал совершенно не о том, что Вы хотите мне сказать. (Точнее не хотите, а делаете вид)

Надеюсь, тут найдутся грамотные люди, способные реально помогать нубам в освоении убунты.

И да, я один, не надо меня во множественном числе поносить.

[AnrDaemon]

"Нуб" - человек, который думает, что всё знает и не желает учиться.
Надеюсь, вы случайно употребили это слово по отношению к себе?

Все ответы уже есть в соседних топиках, просто банальный поиск по слову iptables и поверхностное чтение первых попавшихся топиков мгновенно выдадут в ваши руки такой, например, инструмент, как iptables-save, показывающий все выставленные в брандмауэре правила.
А чтобы узнать, как именно работает некий скрипт, либо берётся в руки документация на этот скрипт, либо берётся код скрипта и читается глазами с применением мозгов.

P.S.
Прежде, чем выкладывать на форум выводы диагностических программ, прочитайте правила внимательно.
Хорошо?

[linux-fan]

SeVlad учитесь задавать вопросы,чтобы на них было легко отвечать AnrDaemon вам правельно ответил,на ваш вопрос.
У вас не конкретный вопрос,чтобы посмотреть что нужно разрешить,как минимум нужен исходинк скрипта,или подробное обьяснене как он работает.

[SeVlad]

"Нуб" - человек, который думает, что всё знает и не желает учиться.

"Нуб" - новичёк, начинающий (хотя бы в педивикию загляните). Начинающий познавать что либо. А тот о ком Вы говорите зовётся по другому.

А чтобы узнать, как именно работает некий скрипт, либо берётся в руки документация на этот скрипт, либо берётся код скрипта и читается глазами с применением мозгов.

Я разве спрашивал как работает скрипт?!! Я вроде по русски написал..

Ок повторю ещё раз. Скрипт отправляет данные в Вордпресс (это CMS такая) по XML-RPC. При включении фаера ВП эти данные не может принять. Соответственно фаер мешает или скрипту или ВП. И вот что именно блочит фаер я пытаюсь разобраться.

И по сути не важно что именно отправляет данные в ВП. Важно - как и почему они не доходят до ВП. Посему я спрашивал -как посмотреть причину отлупа фаера?. Как я думаю - должны быть логи (или их включить)

linux-fan , надеюсь и Вы поняли о чем я..

[AnrDaemon]

Нуб (noob, n00b) - именно то, что я написал.
Новичок (newbie) - несколько другое.

Я разве спрашивал как работает скрипт?!! Я вроде по русски написал..

На апаче имеется скрипт, который постит в Вордпресс (скорее всего по XML-RPC, но я не до конца в этом уверен).

Мой ответ цитировать надо, или сами найдёте?

по XML-RPC

Предположим, что это XML-RPC. Предположим, что он стучится на стандартный порт. Детская проверка - Вордпресс в это же время доступен? С той же самой машины, с которой запускается скрипт?
И где дамп настроек брандмауэра, кторый я у вас ненавязчиво попросил в предыдущем посте?

При включении фаера ВП эти данные не может принять.

Не может принять Wordpress или не может отправить скрипт? Есть разница.
Проверяется в логах апача. (Как, кстати, и работа скрипта (когда он работает, если он работает через XML-RPC на стандартном порту апача)...)

Соответственно фаер мешает или скрипту или ВП. И вот что именно блочит фаер я пытаюсь разобраться.

Так разбирайтесь. Где диагностика, настройки брандмауэра, логи апача?

И по сути не важно что именно отправляет данные в ВП. Важно - как

Верно. Я же не спраиваю у вас, что там за данные и чем вы их заливаете? Я лишь ткнул вас в слабое место ваших предположений, которое тривиально проверяется без долгих пререканий на форуме.

Посему я спрашивал -как посмотреть причину отлупа фаера?. Как я думаю - должны быть логи (или их включить)

man iptables
Цель LOG
Только не зная, как это ВООБЩЕ работает, хрен вы чего с этим сможете сделать. Потому что за одну секунду нормальной работы на обслуживание вас одного, без наличия других внешних подключений, сервер генерирует несколько тысяч, если не десятков тысяч, сетевых пакетов, в которых вы с наскока не разберётесь при вашем текущем уровне знаний.
Это при том, что такая информация вам сейчас не нужна, есть более простые способы получения нужной информации, пусть косвенные, но от этого не менее действенные.

[SeVlad]

Нуб (noob, n00b) - именно то, что я написал.
Новичок (newbie) - несколько другое.

Ну-ну.. Оставьте свои фантазии при себе. Не способность использовать словари или хотя бы поиск показывает Ваши способности.

Детская проверка - Вордпресс в это же время доступен? С той же самой машины, с которой запускается скрипт?

Ну ессно, разве это не понятно из стартпоста?

И где дамп настроек брандмауэра, кторый я у вас ненавязчиво попросил в предыдущем посте?

Это в каком месте предыдущего поста? (не говоря уже о том, что где\как получить это дамп я не в курсе)

Не может принять Wordpress или не может отправить скрипт? Есть разница.

Абзац.. А я не это хочу выяснить. Не?

Проверяется в логах апача.

конекнш тамаут. Что-то сказало?

Только не зная, как это ВООБЩЕ работает, хрен вы чего с этим сможете сделать.

Опять повторюсь - не фантазируйте и не думайте за меня.

В общем, AnrDaemon, я Вас очередной раз прошу не отвечать мне. Я всё еще надеюсь, что на этом форуме найдётся грамотный человек, не только понимающий в вопросе, но и способный нормально подсказать нубу где смотреть и куда копать.

[podkovyrsty]

вы себе представляете цепочку передачи данных у вас?

Что там стоит между php скриптом и wordpress и в каких местах там netfilter ?

Вы разберитесь как ваш скрипт отправляет данные и как вордпресс их принимает, а потом повесьте логирование на каждый из кусков (php, apache, etc...) и поймете на каком этапе оно спотыкается о фаерволл, до этого момента знания как настраивать нетфильтр вам не нужны.

А когда поймете где спотыкается - смотрите что там передается, куда, и по каким портам, отсюда уже можно сплясать в сторону файрволла, включить в нем логирование определенного места и посмотреть, и то не факт что понадобится.
Отсюда будет понятно какие правила вебмина блокируют.

Вы же уперлись в одну часть цепочки и в упор не хотите работать с другими, как будто тут кто-то за вас сможет отладить всю вашу платформу.

Список активных правил можно посмотреть командой sudo iptables-save.

[SeVlad]

Что там стоит между php скриптом и wordpress и в каких местах там netfilter ?

Тут не понял.. о чем вопрос?
Скрипт: httр://llоcalhost/script/,  ВП: httр://llоcalhost/wordpress/ (ну ещё несколько ВП на вирт.хостах). Физически в соседних каталогах находятся.
Еснно всё общее - апач, пхп. И всё работает как надо пока не включается фаер (ОК, не включаю правила).

Вы разберитесь как ваш скрипт отправляет данные

Да как.. По XML-RPC

и как вордпресс их принимает,

Так же и принимает. Пока не включен фаер. Как только включаю (см в стартпост) - всё счастье закончилось.

а потом повесьте логирование на каждый из кусков (php, apache, etc...)

Да как же???

Вы же уперлись в одну часть цепочки и в упор не хотите работать с другими,

Почему же упёрся? Вовсе нет. Я просто не знаю куда и как двигаться (за этим сосбно и пришел на форум).

Список активных правил можно посмотреть командой sudo iptables-save.

Ну их вроде и в вебмине видно (ща под рукой нет ноута с убунтоуй, чтобы сравнить)

[podkovyrsty]

Скрипты же кем-то обрабатываются, они ведь не сами друг другу данные шлют.

netstat вам покажет какие службы на каких портах висят
в настройках модуля, который поднимает rpc тоже указан порт
соответственно 2 порта которые должны быть открыты на прием - это порт rpc и 80 порт, иначе данные не придут.
Так же должны быть открыты порты, сквозь которые отправляются данные - опять же вопрос - какие?
Еще вопрос - через какой интерфейс они отправляются и принимаются - lo, eth0 или еще что - порты должны быть открыты на них.
Все это в настройках  и в netstat.

А логирование смотрите в функциях библиотек, которые вызываете из скриптов.