как открыть порт 8443

[volgar]

Всем добра!
Я уже писал по зтой теме, но может быть так проще. Пришло распоряжение, где надо зайти на сайт https://ir.nalog.ru:8443/ais, для этого они дали сертификат, который я поставил в FF, но не могу зайти на сайт так как порт 8443 закрыт. Перелопатил весь squid и iptables, мануалы и форумы, но результат нуль. Пробовал через ХР - пишет "не удалось соединитьHTTPS"
Сервер Ubuntu 8.04.
Сканирование портов не показывает 8443, только 443
Прошу помощи.
Linux недавно стал админить, поэтому не бейте сильно

[Mam(O)n]

Я в этой теме, которую ты же и открыл, уже ответил. Без этого дальнейший разговор бессмыслен. Не нужно плодить треды.

[volgar]

Я в этой теме, которую ты же и открыл, уже ответил. Без этого дальнейший разговор бессмыслен. Не нужно плодить треды.
[/quot
Извиняюсь
pps@server:~$ sudo iptables -L -vnt nat
Chain PREROUTING (policy ACCEPT 118K packets, 6510K bytes)
 pkts bytes target     prot opt in     out     source               destination
    4   224 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:8080 redir ports 3128
   13   668 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:443 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:563 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:873 redir ports 3128
    6   284 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:21 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:70 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:210 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:280 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:448 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:591 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:777 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:631 redir ports 3128
    0     0 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:873 redir ports 3128
    1    44 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:901 redir ports 3128

Chain POSTROUTING (policy ACCEPT 1196 packets, 101K bytes)
 pkts bytes target     prot opt in     out     source               destination
33038 2083K MASQUERADE  all  --  *      eth0    192.168.1.0/24       0.0.0.0/0
    0     0 MASQUERADE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5190
    0     0 MASQUERADE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    0     0 MASQUERADE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110
 2794  168K MASQUERADE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    4   240 MASQUERADE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:50002

Chain OUTPUT (policy ACCEPT 3987 packets, 268K bytes)
 pkts bytes target     prot opt in     out     source               destination

[Mam(O)n]

Здесь видно, что всё, кроме 8080, 443, 563, 873, 21, 70, 210, 280, 448, 591, 777, 631, 873 и 901 портов, идут мимо сквида и NAT'ятся. Но из-за того, что ты не показал вывод iptables -L -vn я не вижу цепочки FORWARD, где может резаться этот траффик. Первое, возможное решение, которое вырисовывается, это попробовать завернуть 8443 на сквид. Т.е.:

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j REDIRECT --to 3128Если не прокатит, то удалить правило можно с помощью той же команды, но вместо -A нужно написать -D. А если прокатит, тогда нужно найти, где правила iptables подгружаются и вставить туда, т.к. то, что мы конфигурируем это всего-лишь тюнинг настроек фильтра на лету и будет работать до перезагрузки.

зы. Конфиг конечно не фонтан.

[volgar]

Здесь видно, что всё, кроме 8080, 443, 563, 873, 21, 70, 210, 280, 448, 591, 777, 631, 873 и 901 портов, идут мимо сквида и NAT'ятся. Но из-за того, что ты не показал вывод iptables -L -vn я не вижу цепочки FORWARD, где может резаться этот траффик. Первое, возможное решение, которое вырисовывается, это попробовать завернуть 8443 на сквид. Т.е.:

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j REDIRECT --to 3128Если не прокатит, то удалить правило можно с помощью той же команды, но вместо -A нужно написать -D. А если прокатит, тогда нужно найти, где правила iptables подгружаются и вставить туда, т.к. то, что мы конфигурируем это всего-лишь тюнинг настроек фильтра на лету и будет работать до перезагрузки.

зы. Конфиг конечно не фонтан.

Конфиг какой есть, вот что получилось у меня:
pps@server:~$ sudo iptables -L vn
iptables: No chain/target/match by that name
pps@server:~$ sudo iptables -L -vn
Chain INPUT (policy ACCEPT 1297 packets, 309K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 3989 packets, 2486K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 841 packets, 237K bytes)
 pkts bytes target     prot opt in     out     source               destination
pps@server:~$ sudo iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j REDIRECT --to 3128
iptables v1.3.8: Need TCP or UDP with port specification
Try `iptables -h' or 'iptables --help' for more information.
Может вместо IP yнадо порт написать (8443)

[Mam(O)n]

pps@server:~$ sudo iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j REDIRECT --to 3128
iptables v1.3.8: Need TCP or UDP with port specification
Try `iptables -h' or 'iptables --help' for more information.

Плин, действительно, забыл протокол с портом указать. Так попробуй:

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 8443 -j REDIRECT --to 3128Пользователь решил продолжить мысль 03 Декабря 2009, 18:34:58:А вообще очень странно, не может быть, чтоб таблица пустая была. Так никто не конфигурирует файрволл. Тем более смущают небольшие показания счётчиков. Ты случаем в ходе экспериментов не угрохал таблицы? Если да, то перезагрузка по-идее должна спасти положение, если конфиг из файла подгружается, до которого ты еще не добрался.

[volgar]

не катит, вот что про порты пишет
pps@server:~$ sudo nmap 192.168.1.2

Starting Nmap 4.53 ( http://insecure.org ) at 2009-12-03 18:51 MSK
Interesting ports on server (192.168.1.2):
Not shown: 1697 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
53/tcp    open  domain
80/tcp    open  http
111/tcp   open  rpcbind
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
512/tcp   open  exec
513/tcp   open  login
514/tcp   open  shell
629/tcp   open  unknown
2049/tcp  open  nfs
3128/tcp  open  squid-http
3306/tcp  open  mysql
8009/tcp  open  ajp13
8080/tcp  open  http-proxy
10000/tcp open  snet-sensor-mgmt
50002/tcp open  iiimsf
Nmap done: 1 IP address (1 host up) scanned in 0.165 seconds
Может это критично, но у меня называется etc/iptables.up.rules

[Mam(O)n]

не катит, вот что про порты пишет
pps@server:~$ sudo nmap 192.168.1.2

Так nmap только по ему известным портам шарит. Так что не показатель.

Может это критично, но у меня называется etc/iptables.up.rules

Во! Давай на него и взглянем.

[volgar]

не катит, вот что про порты пишет
pps@server:~$ sudo nmap 192.168.1.2

Так nmap только по ему известным портам шарит. Так что не показатель.

Может это критично, но у меня называется etc/iptables.up.rules

Во! Давай на него и взглянем.

а может быть не tcp а udp

[Mam(O)n]

Ну как я и подозревал. Таблица не может быть пустой, ты её просто убил в ходе экспериментов.

Я вот тут пришел к выводу. А сквид-то наверное не сможет понять, что трафик по нестандартному порту идёт. Так что пойдём в обход сквида. В твоём конфиге 80% мусора. Я его немного почистил и вот, первый вариант:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# eth0 - инет
# eth1 - лагалка
#
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp -m multiport --dport 21,80,8080 -j REDIRECT --to-ports 3128

-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
# Я бы так ни в коем случае не пускал бы eth0, т.к. хост голой жопой в инете. Лучше конкретно указать, на какие порты нужно открыть.
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT

-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

COMMIT


[volgar]

До завтра. Спасибо
Пользователь решил продолжить мысль 03 Декабря 2009, 19:07:04:Установил правленный IPTABLES, перезагрузил сервак, проверил порты сервера со своего компа: система-администрирование - сетевые инструменты - сканирование портов - IP сервера. Порт 8443 появился, но сайт все равно не открывается.
Попытался войти с XP машины - тоже не вошёл, сделал проверку соединений. Он написал невозможно соединиться с HTTPS (это когда пытаюсь выйти на сайт), ещё пишет про FTP, но это меня не интересует




Пользователь решил продолжить мысль 04 Декабря 2009, 06:04:57:

Ну как я и подозревал. Таблица не может быть пустой, ты её просто убил в ходе экспериментов.

Я вот тут пришел к выводу. А сквид-то наверное не сможет понять, что трафик по нестандартному порту идёт. Так что пойдём в обход сквида. В твоём конфиге 80% мусора. Я его немного почистил и вот, первый вариант:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# eth0 - инет
# eth1 - лагалка
#
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp -m multiport --dport 21,80,8080 -j REDIRECT --to-ports 3128

-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
# Я бы так ни в коем случае не пускал бы eth0, т.к. хост голой жопой в инете. Лучше конкретно указать, на какие порты нужно открыть.
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT

-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

COMMIT


Что означают цифры в iptables [0:0]
Пользователь решил продолжить мысль 05 Декабря 2009, 08:33:46:Закрываю тему. Причина ошибки выяснена. У меня стоит прозрачный прокси, который,как пишут, не поддерживает HTTPS и FTP.
Буду думать как обойти эту проблему. Спасибо Mfm(o)nу