| 0
- 04.04.2015 - 00:54
|
Собственно интересует правильность написания правила в iptables И еще очень стало интересно, как сервисы выполняют открытие и закрытие портов при старте и стопе. В iptables это никак не светится. тот же ssh, apache2 и так далее.     | | ||||
| 1
- 04.04.2015 - 01:22
|
не, ну совсем совести нет. Тупо пересказать мануал своими словами? | | ||||
| 2
- 04.04.2015 - 01:32
|
Тупо не надо. -A INPUT -i eth0 -p tcp -m tcp --dport XXX -j ACCEPT так вроде работает, что может надо добавить для улучшайзинга процесса ? ну там сеть, с которой можно или еще что ? Но самый важный вопрос намбер 2 - как и что делают эти сволочи типа SSH и APACHE2 - порты при старте сервисов открываются, при стопе закрываются. Я не могу найти как они это делают | | ||||
| 3
- 04.04.2015 - 07:21
| Цитата:
а в чем выражается это самое порты при старте сервисов открываются, при стопе закрываются я что-то плохо представляю, о чем именно речь, на входящий syn нет ответа, или ответ rst? | | ||||
| 4
- 04.04.2015 - 09:43
|
3-gloomymen > не знаю. имеем IP адрес сетевой карты eth0 например 192.168.0.172 даем команду nmap "IP eth0" и видим список открытых портов для данного адреса, то есть своего. Отключаем сервис какой-нибудь и снова даем команду nmap "IP eth0" и видим что порт сервиса из списка пропал. Каких либо адекватных записей в iptables по данным портам нет. Просто вчера красноглазил по данному поводу. Есть программа, запускающаяся как сервис и требующая для работы открытого порта для подключения клиента. Все игры с iptables приводили к неудаче. Хотя вроде пока комп запущен параметры iptables должны применяться сразу ?????? я комп забрал домой красноглазить дальше и ессно его выключал. Правило iptables (которое указывал выше) было сохранено и после загрузки компа порт оказался открыт, что меня еще больше удивило. Возможно надо было перегрузить сервис программы, кроме применения правила ????? з.ы. где смотреть логирование пропуска или отброса портов в Debian 7 ???? откровенно интернет пестрит кучей такого - iptables-save > /etc/iptables-бла-бла-бла но на Debian 7 такого нет, пока не доставишь пакет iptables-persistent и работает все как-то чуть иначе, чем в инфе из инета.... | | ||||
| 5
- 04.04.2015 - 09:52
|
Попутный вопрос, не относящийся к портам, чтобы новую тему не создавать. Есть вообще GUI версии нормально позволяющие настраивать iptables для gnome или лучше для xfce4 ? Ставить на данную машинку openSUSE c GNOME нет желания, слабовата будет. а в xfce варианте там возможно тоже будут выпилы, как и в Debian (в xfce нет гуевых управлялок пользователями и группами) Ну и еще вопрос, можно ли как-то установить пакет gnome-system-tools, чтобы он не потянул за собой все прелести GNOMa ? | | ||||
| 6
- 04.04.2015 - 09:55
|
ну и собственно Suse не хочу из-за их игр с ядром, потом кучку всего или пересобирать руками или еще что. Ну и куча способов решения проблем в сети как правило Ubuntu и клоны, легче искать и править траблы. В openSuse свой firewall чего только стоит, если через него не делать, то знания iptables не помогут. | | ||||
| 7
- 04.04.2015 - 11:16
|
жесть..... внимание вопрос что такое открытый/закрытый порт в вашем понимании? то же самое с точки зрения сканера nmap? и насколько корректно судить о правильности срабатывания правил netfilter для внешнего интерфейса, сканируя порты изнутри стека? у вас, гражданин, сквозное отверстие в голове | | ||||
| 8
- 04.04.2015 - 17:09
|
Останавливаем вебсервер. Он остановлен. Он неработает. Listen сокета отсутствует. Машину заглушили. Двигатель не работает. | | ||||
| 9
- 04.04.2015 - 20:13
| Цитата:
Зачем вообще гном или прочий гуй? Самое лучше, на мой взгляд, Webmin http://www.webmin.com/ Получается полноценная морда для практически для всего что нужно в linux сервере. Хоть это удаленный сервер хоть локальный рабочий комп. Для файрволла вэбмин сам создаст файл iptables.up.rules куда предложит запихнуть текущую конфигурацию. Визуально интерфейс удобен для настройки. Так же можно будет выставить запускать ли файрвол при загрузке или нет. Единственно, iptables -L никто не отменял. Цитата:
| | ||||
| 10
- 04.04.2015 - 20:16
|
Вот такой получается Вэбмин еще удобен тем, что ты видишь все возможности всевозможных правил при их создании. Например, я с линуксом ковыряюсь не так давно, и читать не всегда есть время, а тут при попытке создания правила или настройке какого-либо сервиса сразу видно все возмжности настройки | | ||||
| 11
- 04.04.2015 - 20:23
| Цитата:
| | ||||
| 12
- 04.04.2015 - 21:11
|
7-gloomymen > и 8-Фанат NASCAR > еще раз. ПО было запущено, а порт был закрыт. Для открытия потребовалось прописывать правила iptables. Для открытия портов SSH и apache прописывать правила iptables нет необходимости, это выполняют сами сервисы - вопрос звучал - КАК они это делают. Весь остальной срач просьба оставить на стороне. 9-нави > это будет небольшой сервер для openscada. После изучения кучи предложений на рынке scada систем принято решение разобраться с openscada. Бесплатность, необходимые мне протоколы в наличии. Остальные предложения разными вещами не устраивают, либо необходимостью покупки ОРС серверов, либо ценой за теги или лицензии. Про WEBMIN в курсе, он тоже будет установлен. Просто машинка делается для не 100% подготовленных юзеров и некоторые вещи проще и быстрее сделать подключившись по RDP с любой Виндовой машины без установки какого-либо дополнительного софта. Вебмин больше для администрирования заточен, туда лучше пускать не всех. А вот например перекинуть файлы на FTP для слабоподготовленных пользователей лучше использовать специально заведенного пользователя с подключением по RDP (это ИМХО) | | ||||
| 13
- 04.04.2015 - 21:15
| з.ы. кроме scada системы комп будет использоваться и как небольшой видеорегистратор с взаимодействием со скадой (если получится разобраться с запросами, в крайнем случае постараемся заинтересовать программеров ПО для добавления SQL запросов) | | ||||
| 14
- 04.04.2015 - 21:16
|
В первый раз согласен с gloomymen. Либо вы нас троллите, либо просто нужно прочитать фундаментальные книжки как устроены сети (Олиферов, Таненбаума), потом - мануал по iptables. Это не небольшое недопонимание. Тут форум не поможет. | | ||||
| 15
- 04.04.2015 - 21:48
|
14-Добрых дел мастер > сколько раз мне еще повторить, сервисы ssh, apache2 не пишут в iptables правила вида -A INPUT -i eth0 -p tcp -m tcp --dport XXX -j ACCEPT При этом при запуске сервисов порты открываются. Интересовал вопрос - КАК ? а не отсылание к мануалам по iptables... | | ||||
| 16
- 04.04.2015 - 21:49
| а вы не думали, что порт и был открыт, просто его никто не слушал? | | ||||
| 17
- 04.04.2015 - 21:50
| 14-Добрых дел мастер > кстати, не помню с кем из вас была ресь про xrdp, собирать из исходников приходится X11rdp, чтобы получить графику, сам xrdp сервер есть в репах Debian. | | ||||
| 18
- 04.04.2015 - 21:51
| не со мной | | ||||
| 19
- 04.04.2015 - 21:54
|
16-Добрых дел мастер > порт слушало ПО, сервис был запущен. Единственное, что смутило, так это сравнение между ssh например. у него в списке LISTEN вид ::::22 а у ПО, которому надо было открыть порт 127.0.0.1:ХХХХ то есть прослушка только localhost. сетевая на компе одна. Если изначально при установке системы все открыто, то почему было не але и при запущенном сервисе ПО по nmap "адрес eth0" не фигурировал порт, который слушает ПО ? | | ||||
| 20
- 04.04.2015 - 21:59
| кстати сейчас, когда порт открыт уже выглядит LISTEN как 0.0.0.0:ХХХХ для запущенного ПО регистратора | | ||||
| 21
- 04.04.2015 - 22:05
| Цитата:
Цитата:
| | ||||
| 22
- 04.04.2015 - 22:16
|  Если здесь фигурирует PORT XX open то доступ будет, если порта здесь нет, то и доступа нет. у меня сервис apache2 не загрузился из-за ошибки, соответственно некому было слушать и вообще открывать порт, соответственно по команде nmap тут 80-го порта не было и не было дуступа. Хорошо, как правильно говорить вместо "открыть порт" ? Может перестать цепляться к словам и ответить на поставленный вопрос - как сервисы при запуске дают возможность к ним подключаться и можно проверить другими средствами (такими как тот же nmap), что доступ должен работать и если есть траблы то искать их в другом месте ??? | | ||||
| 23
- 04.04.2015 - 22:23
| Цитата:
Более показательна команда netstat -nap Цитата:
Прописали строчку в iptables? Или что-то настроили в самом приложении(похоже, что это)? Или еще что-то? | | ||||
| 24
- 04.04.2015 - 22:38
|
23-Добрых дел мастер > чем она показательна ? только списком портов, которые слушают те или иные сервисы ? так вот ПО в списке по netstat было c адресом 127.0.0.1:8090 и начало быть доступным только после применения правила iptables. А я спрашиваю, как тот же ssh или apache2 не требует записи в iptables и после запуска сервиса все работает. Вы же программер, можете посмотреть исходники sshd например и понять как они это делают ? | | ||||
| 25
- 04.04.2015 - 22:39
| только iptables. в приложении могу поменять только порт, который слушать, не более | | ||||
| 26
- 04.04.2015 - 22:51
| Цитата:
Цитата:
| | ||||
| 27
- 04.04.2015 - 23:14
|
26-Добрых дел мастер > почему троль ? мне кажется вы сами гворили о том, что программер, ну или когда-то им были... Программа видеорегистратора мультиплатформенная. Xeoma ПО сравнению с AVReg и Zoneminder очень понравилась. Есть ошибки кое-какие, но думаю поправят в следующем релизе. Работает как сервис, так же стопорится и запускается через /etc/init.d/ и так далее ну или через service | | ||||
| 28
- 04.04.2015 - 23:18
| а, может даже порт поменять не могу, не смотрел еще. Просто в настройках клиента порт можно указывать для подключения к серверу, видимо должен меняться где-то | | ||||
| 29
- 04.04.2015 - 23:25
|
мы прослушали доклад об "исследовании лияния лунного света на скорость роста телеграфных столбов" (с) lithium Цитата:
народ, да оставьте вы этого мыслителя-эксперта в покое, это клинический случай он даже не понял о чем я его спроил, и главное зачем) у него две пластинки "линухгавно" и "уменяничонеработает" | | ||||
| 30
- 04.04.2015 - 23:31
|
29-gloomymen > так объяснил бы для тупых, только смотрю ты седня в настроении, когда у тебя его нет, ты одним сообщением помогаешь решить проблему :) или наоборот (про настроение) :) | | ||||
| 31
- 04.04.2015 - 23:48
|
еще один вопрос: А в нетстате с 127.0.0.1:8090 на 0.0.0.0/0:8090 меняется сразу после добавления строчки в iptables, или приходится передернуть сервис? Если первое - чудеса, если второе - читать (и если очень хочется - править) скрипт запуска сервиса. | | ||||
| 32
- 05.04.2015 - 00:24
| 31-Добрых дел мастер > надо будет проверить | | ||||
| 33
- 05.04.2015 - 00:29
|
Да, кстати, совсем забыл, зачем я здесь: Цитата:
А вообще - прочитайте какую-нибудь фундаментальную книжку по самым основам сетей. У меня есть знакомые - крутые инженеры из интеграторов(но сети для них - не основное направление) - и они не брезговали Олиферами. | | ||||
| 34
- 05.04.2015 - 01:14
|
блин, ерунда какая-то. Удалил запись в iptables, перегрузил сервис, все работает. Почему раньше не хотело я хз... ладно, буду разбираться с iptables дальше, а то надо будет все позакрывать же... и потом нужное открыть. сейчас в листе 0.0.0.0:8090 а точно было раньше 127.0.0.1:8090 | | ||||
| 35
- 05.04.2015 - 02:47
| 34-Перпетум Мобиле >именно netstatом можно посмотреть, на каком интерфейсе приложение слушает, и какой порт. То есть - какие настройки у приложения. От настроек iptables это не зависит. От них зависит возможность доступа к интерфейсу:порту других приложений. | | ||||
| 36
- 05.04.2015 - 14:02
| Цитата:
Что касается остальных, то в вэбмине можно создавать пользователей именно вэбмина и давать им разрешение на нужные модули, оставив только то что надо. Посмотрите, может подойдет. | | ||||
| 37
- 05.04.2015 - 14:13
| Цитата:
Просто вы открываете своим правилом порт, а он и не был закрыт вообще. И вы думаете что все работает от вашего правила. Цитата:
-A INPUT -i eth0 -j DROP. И тогда у вас и апач отвалится ваш и ssh. Поэтому должны быть прописаны правила на доступ к серваку от-туда откуда надо. И эту строку, запрещающую все может заменить политика DROP. Так грамотнее будет. Не надо будет явным образом запрещать все остальное. в файле правил ============================== *filter :INPUT DROP [0:0] ============================== Это если не отсылать к манам по iptables... Цитата:
Цитата:
| | ||||
| 38
- 05.04.2015 - 14:18
| Цитата:
Так что Перпетум Мобиле, терпите:) | | ||||
| 39
- 05.04.2015 - 14:21
|
36-нави > я уже понял, что у меня все открыто. Теперь осталось понять, каким таким чудом не было доступа к ПО в то время, когда его сервис был запущен. Почему в листинге фигурировал 127.0.0.1:8090 а теперь фигурирует 0.0.0.0:8090 з.ы. на данный момент ПО лицензировано, надо будет на другую машину поставить пробную версию и сравнить. | |
Интернет-форум Краснодарского края и Краснодара |
