HOWTO: Iptables для новичков

[novis]

На маршрутизаторе (роутере) порт открыл 51413
Подскажите плиз, где проблема, сервер с одной сетевухой, хочу открыть порт 51413 но не получается, ресурс 2ip говорит что порт закрыт. С другого компьютера в тойже сети командой телнет говорит что всё в порядке, а из инета не видно.

iptables-save

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.8 on Mon Feb 13 14:26:43 2012
*nat
:PREROUTING ACCEPT [7188:517471]
:POSTROUTING ACCEPT [192:13171]
:OUTPUT ACCEPT [21881:1394856]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Feb 13 14:26:43 2012
# Generated by iptables-save v1.4.8 on Mon Feb 13 14:26:43 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 51413 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 51413 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 192.168.1.0/24 -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Mon Feb 13 14:26:43 2012

network interface

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#allow-hotplug eth0

auto eth0
iface eth0 inet static
        address 192.168.1.200
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.1.1

[fisher74]

прежде чем вникать в правила вопрос - а какое приложение слушает порт? И слушает ли оно на момент проверки?

[novis]

прежде чем вникать в правила вопрос - а какое приложение слушает порт? И слушает ли оно на момент проверки?

Приложение transmisson-daemon
слушает, вот top
 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 1508 debian-t  20   0  184m  19m 2360 S    1  0.4  19:09.09 /usr/bin/transmission-daemon --config-dir /var/lib/transmission-daemon/info
в конфиге прописан порт 51413

netstat -lnp

(Нажмите, чтобы показать/скрыть)

/etc# netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.1.200:51413     0.0.0.0:*               LISTEN      1508/transmission-d
tcp        0      0 192.168.1.200:9091      0.0.0.0:*               LISTEN      1508/transmission-d
tcp6       0      0 :::51413                :::*                    LISTEN      1508/transmission-d
udp        0      0 192.168.1.200:51413     0.0.0.0:*                           1508/transmission-d
udp        0      0 0.0.0.0:43991           0.0.0.0:*                           1508/transmission-d
udp        0      0 239.192.152.143:6771    0.0.0.0:*                           1508/transmission-d

Переделал iptables, получилось чуть короче, но проблема всё таже

iptables-save

(Нажмите, чтобы показать/скрыть)

:/etc# iptables-save
# Generated by iptables-save v1.4.8 on Mon Feb 13 16:09:42 2012
*nat
:PREROUTING ACCEPT [501:34674]
:POSTROUTING ACCEPT [1218:76672]
:OUTPUT ACCEPT [1218:76672]
COMMIT
# Completed on Mon Feb 13 16:09:42 2012
# Generated by iptables-save v1.4.8 on Mon Feb 13 16:09:42 2012
*mangle
:PREROUTING ACCEPT [26424:3353974]
:INPUT ACCEPT [26420:3353766]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [21014:54264894]
:POSTROUTING ACCEPT [21058:54271255]
COMMIT
# Completed on Mon Feb 13 16:09:42 2012
# Generated by iptables-save v1.4.8 on Mon Feb 13 16:09:42 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
COMMIT
# Completed on Mon Feb 13 16:09:42 2012

сделал ребут, iptables увеличился
# iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Mon Feb 13 16:14:53 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Mon Feb 13 16:14:53 2012
# Generated by iptables-save v1.4.8 on Mon Feb 13 16:14:53 2012
*mangle
:PREROUTING ACCEPT [21298:23864342]
:INPUT ACCEPT [21297:23864310]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16748:3704041]
:POSTROUTING ACCEPT [16815:3712403]
COMMIT
# Completed on Mon Feb 13 16:14:53 2012
# Generated by iptables-save v1.4.8 on Mon Feb 13 16:14:53 2012
*nat
:PREROUTING ACCEPT [427:32369]
:POSTROUTING ACCEPT [1921:141591]
:OUTPUT ACCEPT [1921:141591]
COMMIT
# Completed on Mon Feb 13 16:14:53 2012

[fisher74]

-A INPUT -i eth0 -j ACCEPT

Всё остальное не важно. Проверяйте настройки роутера

[novis]

Что-то вообще какой-то затык получился.
Обновил прошивку на маршрутизаторе
Port Forwarding

(Нажмите, чтобы показать/скрыть)

Source          Destination     Proto.  Port range  Redirect to     Local port
ALL             ALL             TCP     80          192.168.1.200   80         
ALL             ALL             UDP     51413       192.168.1.200   51413     
ALL             ALL             TCP     51413       192.168.1.200   51413 

Т.е. фсё в порядке, на маршрутизаторе слушает.

netstat -lnp

(Нажмите, чтобы показать/скрыть)

# netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.1.200:51413     0.0.0.0:*               LISTEN      1289/transmission-d
tcp        0      0 192.168.1.200:9091      0.0.0.0:*               LISTEN      1289/transmission-d
tcp6       0      0 :::51413                :::*                    LISTEN      1289/transmission-d
udp        0      0 192.168.1.200:51413     0.0.0.0:*                           1289/transmission-d
udp        0      0 0.0.0.0:46451           0.0.0.0:*                           1289/transmission-d
udp        0      0 239.192.152.143:6771    0.0.0.0:*                           1289/transmission-d

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Mon Feb 13 18:00:11 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Mon Feb 13 18:00:11 2012
# Generated by iptables-save v1.4.8 on Mon Feb 13 18:00:11 2012
*mangle
:PREROUTING ACCEPT [1104296:347424473]
:INPUT ACCEPT [1104132:347417103]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [908869:1995014126]
:POSTROUTING ACCEPT [909193:1995039738]
COMMIT
# Completed on Mon Feb 13 18:00:11 2012
# Generated by iptables-save v1.4.8 on Mon Feb 13 18:00:11 2012
*nat
:PREROUTING ACCEPT [19149:1365702]
:POSTROUTING ACCEPT [64607:4154532]
:OUTPUT ACCEPT [64607:4154532]
COMMIT
# Completed on Mon Feb 13 18:00:11 2012

Сетевых интерфейса два, но подключен только один.
 ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:17:9a:b3:9e:69
          inet addr:192.168.1.200  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::217:9aff:feb3:9e69/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2154891 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2412502 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1530552136 (1.4 GiB)  TX bytes:2129070846 (1.9 GiB)
          Interrupt:23

eth1      Link encap:Ethernet  HWaddr 00:18:f3:5f:d0:d2
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:32682 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32682 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:95897584 (91.4 MiB)  TX bytes:95897584 (91.4 MiB)

Вообщем беда какаета, 2ip кажет что порт то открыт то закрыт.

[ivsatel]

novis Хоть fisher74 уже сказал, что правила iptables равны 0. Но можно попробовать так:

Код: [Выделить]

#!/bin/sh

# Очистка правил

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t fail2ban-ssh -F

# Очистка всех цепочек

iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -t fail2ban-ssh -X

# Очистка контейнеров

iptables -Z
iptables -Z -t nat
iptables -Z -t mangle
iptables -Z -t fail2ban-ssh

# Установка правил по умолчанию

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
Что бы Вам не думалось. По сути, практически тоже, что и сейчас у Вас.
И если после процедуры, 2ip так-же будет не стабильно показывать наличие открытого порта, значит дело в роутере, а если все будет стабильно то правила iptables добавлять в правильном порядке.

[fisher74]

Приложение transmisson-daemon

В самом приложении проверка порта что показывает?

[novis]

Приложение transmisson-daemon

В самом приложении проверка порта что показывает?

Показывает что порт закрыт.

[fisher74]

А как с http-сервером?
Есть у меня подозрение, что в роутере неправильно настраиваете.

[novis]

А как с http-сервером?

Не совсем понял что имеется ввиду, но на порт 9091 пускает по логину и паролю, также и клиент Трансмиссион ремоуте гуи на порт 9090. Пускает с компа тойже сети 192.168.1.0 /24
Порты 9090 и 9091 на роутере не пробрасывал, только Status & Log - Port Forwarding
Source          Destination     Proto.  Port range  Redirect to     Local port
ALL             ALL             TCP     80          192.168.1.200   80         
ALL             ALL             UDP     51413       192.168.1.200   51413     
ALL             ALL             TCP     51413       192.168.1.200   51413

[fisher74]

По Вашим данным, у Вас проброшен ещё и 80 порт, что есть http. Про 9091 и 9090 Вы нас ничего не говорили. Откуда по этим портам подключаетесь? также из-за роутера?
Пользователь решил продолжить мысль 14 Февраля 2012, 19:54:36:А вообще, это выходит за рамки iptables. Правила-то у Вас голые

[novis]

Выше исправил сообщение. Понял Вас. Спасибо что прояснили с правилами iptables
Буду что-то предпринимать. И в правду вышло за рамки, останавливаемся, спасибо всем

[chester_+1]

Этой ночью выдалось время проверить домашний сервер (на неделе часто зависал). Открываю журнал и вижу:

Feb 17 13:44:18 fileserver kernel: [96808.905281] iptables: *DROP INPUT* IN=eth0 OUT= MAC=мак_сервера:мак_роутера:08:00 SRC=*мой внешний ip* DST=192.168.1.2 LEN=309 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=6310 DPT=14454 LEN=289
Feb 17 16:47:57 fileserver kernel: [107827.920579] iptables: *DROP INPUT* IN=eth0 OUT= MAC=мак_сервера:мак_роутера:08:00 SRC=*мой внешний ip* DST=192.168.1.2 LEN=309 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=6310 DPT=11264 LEN=289
Feb 17 19:13:43 fileserver kernel: [116573.417298] iptables: *DROP INPUT* IN=eth0 OUT= MAC=мак_сервера:мак_роутера:08:00 SRC=*мой внешний ip* DST=192.168.1.2 LEN=309 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=6310 DPT=22722 LEN=289
Feb 17 19:43:37 fileserver kernel: [118367.314558] iptables: *DROP INPUT* IN=eth0 OUT= MAC=мак_сервера:мак_роутера:08:00 SRC=*мой внешний ip* DST=192.168.1.2 LEN=309 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=6310 DPT=22722 LEN=289
Feb 17 20:48:24 fileserver kernel: [122254.640965] iptables: *DROP INPUT* IN=eth0 OUT= MAC=мак_сервера:мак_роутера:08:00 SRC=*мой внешний ip* DST=192.168.1.2 LEN=322 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=6310 DPT=64735 LEN=302
Feb 17 21:14:20 fileserver kernel: [123811.268804] iptables: *DROP INPUT* IN=eth0 OUT= MAC=мак_сервера:мак_роутера:08:00 SRC=*мой внешний ip* DST=192.168.1.2 LEN=309 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=6310 DPT=22722 LEN=289
Feb 18 00:12:58 fileserver kernel: [134529.090241] iptables: *DROP INPUT* IN=eth0 OUT= MAC=мак_сервера:мак_роутера:08:00 SRC=*мой внешний ip* DST=192.168.1.2 LEN=322 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=6310 DPT=64735 LEN=302

Вам ведь не обязательно знать MAC и ip, поэтому скрыл.

- В самом конце цепочки input пишутся в лог все блокируемые соединения.
- Интернет раздается с роутера, на нем открыт порт UDP 6310. Используется для DHT сети rtorrent.
- Работает Deluged (как резервный клиент).
- Кроме веб-сервера (80 порт), пожалуй, нет больше сервисов "смотрящих" в сеть. 
- Оператор не предоставляет внешний адрес, однако сижу с макс. тарифом и адрес статический, доступ с работы есть. Пользуюсь 4 месяца и особо не вникал почему так.
- Около месяца назад ко мне уже ломились, отписывался в этой теме. Заблокировал все подсети откуда производился брутфорс и закрыл порт webmin. Советовали посерьезней методы, времени нет изучить. Пока добавил лишь правило, по которму адрес в памяти, сидящий в бане, в случае повторного обращения - увеличивает время бана. Правило не действует в отношении "торрент-портов".

Что означают сообщения? Первая мысль, что меня пытаются сканировать, прибегая к "фичам" по подмене адреса в Nmap.

Единственное не пойму, если это тот же товарищ, на кой черт я ему сдался. Файлопомойка стоит таких усилий?

 

[AnrDaemon]

Вообще-то это Deluge мусорит.

[chester_+1]

AnrDaemon
Deluge открыто два порта 6313-6314. Почему же он использует порты rtorrent (6310-6312)?