Открытие порта

[maslonax]

Добрый день, возникла необходимость открыть порт 10001, при проверке порта на сайте http://speed-tester.info/check_port.php пишет порт закрыт. Прочитав много форумов так и не получилось открыть порт, вот решил написать сюда.
rc.local:

(Нажмите, чтобы показать/скрыть)

iptables -F
iptables -t nat -F
iptables -A FORWARD -p udp --dport 4380 -j DROP
iptables -A FORWARD -p udp --dport 29468 -j DROP
iptables -A FORWARD -p tcp --dport 29468 -j DROP
iptables -t nat -A POSTROUTING -o p2p1 -j MASQUERADE

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.18 on Wed Oct  8 13:22:07 2014
*nat
:PREROUTING ACCEPT [426877:30154634]
:INPUT ACCEPT [283194:16865901]
:OUTPUT ACCEPT [107950:6762626]
:POSTROUTING ACCEPT [44908:3313255]
-A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081
-A POSTROUTING -o p2p1 -j MASQUERADE
COMMIT
# Completed on Wed Oct  8 13:22:07 2014
# Generated by iptables-save v1.4.18 on Wed Oct  8 13:22:07 2014
*filter
:INPUT ACCEPT [4616448:4282005258]
:FORWARD ACCEPT [3224543:1817630602]
:OUTPUT ACCEPT [5115615:4241119220]
-A INPUT -m mac --mac-source 00:0C:29:1F:CD:77 -j DROP
-A FORWARD -p udp -m udp --dport 4380 -j DROP
-A FORWARD -p udp -m udp --dport 29468 -j DROP
-A FORWARD -p tcp -m tcp --dport 29468 -j DROP
COMMIT
# Completed on Wed Oct  8 13:22:07 2014

[sergey8888]

Ну если вы хотите открыть конкретный порт под конкретное приложение то вот как вариант фаервол Gufw

(Нажмите, чтобы показать/скрыть)

[.ubuntufan]

Судя по конфигурации iptables порт не закрыт.
Сервис пишет что порт закрыт т.к. не может установить соединение. Вы уверены что для данного порта существует процесс где ожидаются входящие соединения?

Проверить можно с помощью команды:

Код: [Выделить]

netcat -z -v localhost 10001

Также с помошью netcat можно подождать входящее соединение:

Код: [Выделить]

netcat -l 0.0.0.0 10010

И затем проверить закрыт ли порт с помощью упомянутого вами сервиса.

[maslonax]

Ну если вы хотите открыть конкретный порт под конкретное приложение то вот как вариант фаервол Gufw

(Нажмите, чтобы показать/скрыть)

Стоит сервер ubuntu 12.10 и там консоль и ваше предложение увы не подходит.

[ArcFi]

maslonax, пока вы не запустите процесс, который будет висеть на этом порту, у вас он не "откроется".

Вот список процессов и слушаемых ими портов:

Код: [Выделить]

sudo ss -lnpAinet | sort

[maslonax]

netcat -z -v localhost 10001
netcat: connect to localhost port 10001 (tcp) failed: Connection refused

Программа установленная на др. компьютере соединяется по порту 10001 с неким сервисом находящимся в интернете. Шлюз её не пропускает. Может быть squid чем то мешает? Хотя он прозрачный и то заворачиваю трафик по порту 80 и 8080, по идее он не должен мешать программе.

[bukass]

maslonax,
Может покажешь, что за приложение у тебя, работает на 10001 порту.
nmap ip машины на которой работает приложение.
iptables-save c машины на которой работает приложение на 10001 порту.

[maslonax]

nmap 192.168.121.43

(Нажмите, чтобы показать/скрыть)

Starting Nmap 6.40 ( http://nmap.org ) at 2014-10-09 09:31 NOVT
Nmap scan report for 192.168.121.43
Host is up (0.00043s latency).
Not shown: 996 filtered ports
PORT     STATE SERVICE
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
5357/tcp open  wsdapi
MAC Address: BC:AE:C5:E0:E3:3E (Asustek Computer)

На машине установлен Windows, в программе заходит под логином и паролем нормально, а вот уже подключение к базам не удается.

[bukass]

nmap 192.168.121.43

(Нажмите, чтобы показать/скрыть)

Starting Nmap 6.40 ( http://nmap.org ) at 2014-10-09 09:31 NOVT
Nmap scan report for 192.168.121.43
Host is up (0.00043s latency).
Not shown: 996 filtered ports
PORT     STATE SERVICE
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
5357/tcp open  wsdapi
MAC Address: BC:AE:C5:E0:E3:3E (Asustek Computer)

На машине установлен Windows, в программе заходит под логином и паролем нормально, а вот уже подключение к базам не удается.

А база на Ubuntu? ...SQL?

Но на 192.168.121.43 нет программы которая слушает 10001 порт, или она выключена, в момент теста?

[maslonax]

Выяснил что не дает соединиться, отключил правило заворачивания трафика на dansguardian на время и вуаля все поехало. Только понять бы почему не пускает когда правило активно.
Правило перенаправления трафика на сетевой карте которая смотрит в локальную сеть:

Код: [Выделить]

-A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081grep -v "^$\|^#" /etc/squid*/squid.conf

(Нажмите, чтобы показать/скрыть)

acl localnet src 192.168.121.0/24 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1000-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access allow localnet
http_access deny all
http_access allow SSL_ports
http_access allow Safe_ports
http_access allow CONNECT
http_port 3128
cache_dir ufs /var/spool/squid3 4096 32 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
dns_v4_first on
memory_pools on
memory_pools_limit 50 MB

grep -v "^$\|^#" /etc/dansguardian/dansguardian.conf

(Нажмите, чтобы показать/скрыть)

reportinglevel = 3
languagedir = '/etc/dansguardian/languages'
language = 'russian-koi8-r'
loglevel = 2
logexceptionhits = 2
logfileformat = 3
loglocation = '/var/log/dansguardian/access.log'
filterip = 192.168.121.151
filterport = 8081
proxyip = 192.168.121.151
proxyport = 3128
accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgi-bin/dansguardian.pl'
nonstandarddelimiter = on
usecustombannedimage = on
custombannedimagefile = '/usr/share/dansguardian/transparent1x1.gif'
filtergroups = 1        # 2014.3.18-13:03
filtergroupslist = '/etc/dansguardian/lists/filtergroupslist'
bannediplist = '/etc/dansguardian/lists/bannediplist'
exceptioniplist = '/etc/dansguardian/lists/exceptioniplist'
showweightedfound = on
weightedphrasemode = 2
urlcachenumber = 1000
urlcacheage = 900
scancleancache = on
phrasefiltermode = 2
preservecase = 0
hexdecodecontent = off
forcequicksearch = off
reverseaddresslookups = off
reverseclientiplookups = off
logclienthostnames = off
createlistcachefiles = on
maxuploadsize = -1
maxcontentfiltersize = 256
maxcontentramcachescansize = 2000
maxcontentfilecachescansize = 20000
filecachedir = '/tmp'
deletedownloadedtempfiles = on
initialtrickledelay = 20
trickledelay = 10
downloadmanager = '/etc/dansguardian/downloadmanagers/fancy.conf'
downloadmanager = '/etc/dansguardian/downloadmanagers/default.conf'
contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'        # 2014.3.18-12:49
contentscannertimeout = 60
contentscanexceptions = off
recheckreplacedurls = off
forwardedfor = off
usexforwardedfor = off
logconnectionhandlingerrors = on
logchildprocesshandling = off
maxchildren = 120
minchildren = 8
minsparechildren = 4
preforkchildren = 6
maxsparechildren = 32
maxagechildren = 500
maxips = 0
ipcfilename = '/tmp/.dguardianipc'
urlipcfilename = '/tmp/.dguardianurlipc'
ipipcfilename = '/tmp/.dguardianipipc'
nodaemon = off
nologger = off
logadblocks = off
loguseragent = off
softrestart = off
mailer = '/usr/sbin/sendmail -t'

[ArcFi]

Программа установленная на др. компьютере соединяется по порту 10001 с неким сервисом находящимся в интернете. Шлюз её не пропускает.

Тогда для компьютера это будет исходящее соединение.
Надо проверять

Код: [Выделить]

sudo iptables-save

[maslonax]

Программа установленная на др. компьютере соединяется по порту 10001 с неким сервисом находящимся в интернете. Шлюз её не пропускает.

Тогда для компьютера это будет исходящее соединение.
Надо проверять

Код: [Выделить]

sudo iptables-save

В первом посте в спойлере iptables-save выведен со шлюза. А если именно с компьютера где установлена программа, то там стоит windows. Конечно может быть тупой вопрос но все же на windows каким образом можно вывести результат команды Iptables-save, она же вроде не поддерживается...
Да и нашел причину что мешает, это либо dansguardian либо squid только понять бы почему именно....
А можно как нить при прозрачном проксирование в правилах rc.local прописать правило чтобы определенный ip в сети шёл мимо, т.е. минуя дансгуард и сквид?

[ArcFi]

На шлюзе препятствий со стороны iptables к транзитному UDP-трафику нет, кроме портов 4380/udp и 29468/udp.

На венде исходящие по дефолту разрешены, если только не сторонние антивирусы/фаерволы.

Да и нашел причину что мешает, это либо dansguardian либо squid только понять бы почему именно.

Почему вы так решили?
HTTP-прокси вообще не связан с UDP-трафиком.

[maslonax]

На шлюзе препятствий со стороны iptables к транзитному UDP-трафику нет, кроме портов 4380/udp и 29468/udp.

На венде исходящие по дефолту разрешены, если только не сторонние антивирусы/фаерволы.

Да и нашел причину что мешает, это либо dansguardian либо squid только понять бы почему именно.

Почему вы так решили?
HTTP-прокси вообще не связан с UDP-трафиком.

Выше указывал что закоментировав строку
-A PREROUTING -i p4p1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 8081
(заворачивания трафика) программа работает, только как я включаю обратно правило заново подключится не могу, хотя если не выходить то программа продолжает работать...
В тех поддержке сказали проверить этот порт поэтому и зацепился за него, а на прокси даже и не грешил..

[ArcFi]

maslonax, в ТП люди бывают разные и далеко не всегда они знают все особенности работы софта.
Программа может использовать несколько портов/протоколов, в том числе и 80/tcp.