Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Доступ к серверу извне  (Прочитано 1313 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Tenax.10

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Доступ к серверу извне
« : 16 Май 2016, 00:35:31 »
Доброго времени суток! Ubuntu 14.04 выступает в роли шлюза в интернет. Одна сетевая карта смотрит в локальную сеть, другая в сеть провайдера. Подключение к интернету осуществляется с помощью VPN-соединения. Потребовалось поднять www-сервер на этой же машине и возникла следующая проблема: в сети провайдера через eth0 и во внутренней сети eth1 сервер прекрасно видно, более того, обращаясь к адресу ppp соединения сервер тоже открывается, а при доступе снаружи - тишина. На время разрешил в iptables любой трафик и выяснилось, что пинги и udp свободно ходят, а tcp закрыт. Проброса портов или каких-то других вещей нет, есть маскарадинг и всё, ufw выключен, apparmor не установлен, что можно посмотреть?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26087
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #1 : 16 Май 2016, 01:28:02 »
Посмотреть можно правила фильтрации, таблицу маршрутизации и настройки сетевых интерфейсов (конкретно адреса).
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Yuriy_Y

  • Старожил
  • *
  • Сообщений: 1736
    • Просмотр профиля
    • Новоишимка
Re: Доступ к серверу извне
« Ответ #2 : 16 Май 2016, 05:23:48 »
Провайдер выдает серые ИПшники.
С уважением, Юрий.

Оффлайн Tenax.10

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #3 : 16 Май 2016, 08:47:50 »
Посмотреть можно правила фильтрации, таблицу маршрутизации и настройки сетевых интерфейсов (конкретно адреса).

(Нажмите, чтобы показать/скрыть)


(Нажмите, чтобы показать/скрыть)


(Нажмите, чтобы показать/скрыть)

Цитата: Правила форума
1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла.
--Azure
« Последнее редактирование: 16 Май 2016, 11:17:50 от Azure »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #4 : 16 Май 2016, 10:30:33 »
Правила сетевой фильтрации:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   
   93  6433 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0   
 1094  218K ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
...
Это не правила фильтрации, а счётчики фильтров.

Загруженные правила можно так посмотреть
sudo iptables-save
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Tenax.10

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #5 : 16 Май 2016, 11:04:10 »
Это не правила фильтрации, а счётчики фильтров.

Загруженные правила можно так посмотреть
sudo iptables-save

Прошу прощения! Изначально всё запрещено, затем явно указывалось, что разрешать, проставил везде ACCEPT, поэтому за дублирование правил сильно не пинайте!

Код: HTML5
  1. # Generated by iptables-save v1.4.21 on Mon May 16 11:50:33 2016
  2. *mangle
  3. :PREROUTING ACCEPT [659560:258301457]
  4. :INPUT ACCEPT [248235:120628659]
  5. :FORWARD ACCEPT [411189:137668446]
  6. :OUTPUT ACCEPT [239856:39403713]
  7. :POSTROUTING ACCEPT [651291:177090395]
  8. COMMIT
  9. # Completed on Mon May 16 11:50:33 2016
  10. # Generated by iptables-save v1.4.21 on Mon May 16 11:50:33 2016
  11. *filter
  12. :INPUT ACCEPT [0:0]
  13. :FORWARD ACCEPT [0:0]
  14. :OUTPUT ACCEPT [0:0]
  15. -A INPUT -i lo -j ACCEPT
  16. -A INPUT -i eth1 -j ACCEPT
  17. -A INPUT -i eth0 -j ACCEPT
  18. -A INPUT -i ppp0 -j ACCEPT
  19. -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
  20. -A FORWARD -j ACCEPT
  21. -A FORWARD -i eth1 -o ppp0 -j ACCEPT
  22. -A FORWARD -i eth1 -o eth0 -j ACCEPT
  23. -A FORWARD -i eth0 -o eth1 -j ACCEPT
  24. -A FORWARD -i eth0 -o ppp0 -j ACCEPT
  25. -A FORWARD -i ppp0 -o eth1 -j ACCEPT
  26. -A FORWARD -i ppp0 -o eth0 -j ACCEPT
  27. -A OUTPUT -o lo -j ACCEPT
  28. -A OUTPUT -o eth1 -j ACCEPT
  29. -A OUTPUT -o eth0 -j ACCEPT
  30. -A OUTPUT -o ppp0 -j ACCEPT
  31. COMMIT
  32. # Completed on Mon May 16 11:50:33 2016
  33. # Generated by iptables-save v1.4.21 on Mon May 16 11:50:33 2016
  34. *nat
  35. :PREROUTING ACCEPT [16669:971341]
  36. :INPUT ACCEPT [12936:755759]
  37. :OUTPUT ACCEPT [31:6648]
  38. :POSTROUTING ACCEPT [31:6648]
  39. -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
  40. COMMIT
  41.  
« Последнее редактирование: 16 Май 2016, 11:18:53 от Azure »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26087
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #6 : 16 Май 2016, 12:24:43 »
Цитировать
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Это правило работать не будет.
Где у вас разрешен трафик для WWW сервера, я не вижу. (в предположении, что по умолчанию всё запрещено…)
И вообще, показывайте реальные правила, так проще и вам и нам.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #7 : 16 Май 2016, 12:35:08 »
Если это реальные правила, то Вам следует обратиться в ТП провайдера.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Tenax.10

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #8 : 16 Май 2016, 14:32:27 »
Цитировать
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Это правило работать не будет.
Где у вас разрешен трафик для WWW сервера, я не вижу. (в предположении, что по умолчанию всё запрещено…)
И вообще, показывайте реальные правила, так проще и вам и нам.
У меня в правилах всё разрешено, выше я привел список - любой траффик на ACCEPT, отдельно указывать разрешение на что-то еще не требуется, я эти строчки закомментировал, чтобы в глаза не били, но и с ними так же работать не будет. Если убрать правило A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu, то почти ни один сайт не открывается, там всё верно...

Пользователь добавил сообщение 16 Май 2016, 14:35:44:
Если это реальные правила, то Вам следует обратиться в ТП провайдера.
Может это быть как-то связано с gre? В modprobe дополнительно указывал ip_gre и ip_nat_pptp. С ними и без них разницы нет никакой
« Последнее редактирование: 16 Май 2016, 14:35:44 от Tenax.10 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26087
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #9 : 16 Май 2016, 14:37:12 »
Значит вы врёте и у вас не Ubuntu.
Потому что это правило в filter не работает, только в mangle.

Не надо гадать, надо снять трубку, позвонить в ТП провайдера и поинтересоваться наличием фильтрации входящих соединений.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Tenax.10

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #10 : 16 Май 2016, 16:21:10 »
Значит вы врёте и у вас не Ubuntu.
Потому что это правило в filter не работает, только в mangle.

Не надо гадать, надо снять трубку, позвонить в ТП провайдера и поинтересоваться наличием фильтрации входящих соединений.
Угу или Вы больше раздутый пузырь, чем что-то другое. Во всяком случае именно так и работает. В конфигурации с роутером пакеты прекрасно приходят, так что незачем провайдера беспокоить, просто поставлю другую нормальную ОС. Спасибо за консультацию.

Оффлайн Doctor_y

  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #11 : 16 Май 2016, 18:05:50 »
Доброго времени суток! Ubuntu 14.04 выступает в роли шлюза в интернет. Одна сетевая карта смотрит в локальную сеть, другая в сеть провайдера. Подключение к интернету осуществляется с помощью VPN-соединения. Потребовалось поднять www-сервер на этой же машине и возникла следующая проблема: в сети провайдера через eth0 и во внутренней сети eth1 сервер прекрасно видно, более того, обращаясь к адресу ppp соединения сервер тоже открывается, а при доступе снаружи - тишина. На время разрешил в iptables любой трафик и выяснилось, что пинги и udp свободно ходят, а tcp закрыт. Проброса портов или каких-то других вещей нет, есть маскарадинг и всё, ufw выключен, apparmor не установлен, что можно посмотреть?
Чтобы повесить Apache на сервер, никаких настроек на своем сервере трогать не надо. Если из внутренней сети сервер отвечает на внешний IP-шник, то с твоей стороны все в порядке. Снаружи сделай трассировку до своего внешнего IP и поймешь где затык. Хоть со смартфона.

Пользователь добавил сообщение 16 Май 2016, 18:37:00:
Не поленился, сделал это за тебя.
1. Твой адрес не пингуется из Интернета. Вывод - серый адрес сети провайдера.
2. Затык на IP 81.28.160.45 Дальше нет ответа.
Так что провайдера побеспокоить придется. Или не будет у тебя внешнего WEB-сервера на любой системе.
« Последнее редактирование: 16 Май 2016, 18:37:00 от Doctor_y »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #12 : 16 Май 2016, 19:05:09 »
ТС уже обиделся и ушёл. А не пионговаться может даже из-за того что ун уже устанавливает "другую нормальную ОС".
(Нажмите, чтобы показать/скрыть)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн bukass

  • Активист
  • *
  • Сообщений: 976
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #13 : 16 Май 2016, 19:37:21 »
fisher74, pppoe жеж, сессию дернул - поменялся IP.
Tenax.10, Иногда люди бывают злыми по жизни, учись не обращать внимания.
Всем пора в Изумрудный город, кому за умом, кому за сердцем.

Оффлайн Tenax.10

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Доступ к серверу извне
« Ответ #14 : 16 Май 2016, 21:01:58 »
Не поленился, сделал это за тебя.
1. Твой адрес не пингуется из Интернета. Вывод - серый адрес сети провайдера.
2. Затык на IP 81.28.160.45 Дальше нет ответа.
Так что провайдера побеспокоить придется. Или не будет у тебя внешнего WEB-сервера на любой системе.
Сессию обрывал, IP адрес сменился. Дело в том, я извиняюсь, что повторюсь, при полностью "открытых вратах", пинги и вообще udp отлично доходит, скан портов так же говорит, что порты udp открыты и при этих же условиях с теми же правилами "всё открыто", нет tcp. Мой скудный ум увязывает эти события с тем, что я что-то должен сделать с pptp.

Пользователь добавил сообщение 16 Май 2016, 21:12:59:
ТС уже обиделся и ушёл. А не пионговаться может даже из-за того что ун уже устанавливает "другую нормальную ОС".
(Нажмите, чтобы показать/скрыть)
Ну, посмотрите с моей стороны. Прежде чем задать вопрос, сделал все действия самостоятельно. В гугле набрал, как примонтировать флешку в линукс, как поднять PPPOE, настроить iptables и насколько смог задал по сухому вопросы и, как смог, ответил, так же загуглив, что от меня хотят гуру, а мне говорят, что я врун и просто что-то мне мешает. Сейчас просто на другой машинке поднимаю на другом дистрибутиве линукс, основанном на Red Hat Enterprise Linux, что мне остается делать?
« Последнее редактирование: 16 Май 2016, 21:13:53 от Tenax.10 »

 

Страница сгенерирована за 0.063 секунд. Запросов: 24.