Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Servers & Services » Trac, портове и ЦентОС
Тема: Trac, портове и ЦентОС
Мнение #1 Skip to the next post in this topic.
Написано на: Ноември 24 2005, 23:02
Zero_effect

Avatar




Група: Li maniacs
Мнения: 489
Регистриран: Юли 2005

Оценка: 5

Offline
Това, което в момента ме мъчи е да пробия дупка на порт 8001, за да мога да изпробвам trac сървъра.

Това, което направих е да добавя в /etc/sysconfig/iptables следния ред:

Цитат:

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8001 -j ACCEPT


В действителност не разбирам много от iptables и това може да е напълно грешно.

Ето го и целия файл:

Код: 

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [191:28310]
:RH-Firewall-1-INPUT - [0:0]
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8001 -j ACCEPT
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT


Въпреки това никакви резултати...

Какво не съм направил както трябва?

П.П. Забравих да спомена, че в случая имам два компютъра и се опитвам през единия да достигна до сървъра на другия през интернетското ИП

П.П.П. По локалната мрежа има достъп.


Редактирано от Zero_effect на Ноември 25 2005, 20:27
Контакти:  Zero_effect

  • AOL  AOL:
  • ICQ  ICQ: 94584818
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #2 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Ноември 25 2005, 09:49
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
леле майко :) това RH-Firewall-1-INPUT какво е :) каква е подразбиращата се политика на веригата - трябва да дадеш моментното състояние на правилата за да се види каква е картинката в действителност
Код: 

iptables -t filter -L
iptables -t nat -L
iptables -t mangle -L


по въпросът с фаерлолите мойто мнение е доста крайно - никога не ползвам "нещо генерирано от нещо" - предпочитам да си направя всичко сам - така ако се появи проблем мога да го локализирам моментално (най-грубо практиката ми е такава - забранявам всичко и после си разрешавам само това което ми трябва)

това което искаш да направиш се прави най-лесно с просто пренасочване на портове


Редактирано от mcwolf на Ноември 25 2005, 09:50
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #3 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Ноември 25 2005, 14:24
Zero_effect

Avatar




Група: Li maniacs
Мнения: 489
Регистриран: Юли 2005

Оценка: 5

Offline
iptables -t filter -L

Код: 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere


Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:8001
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     ipv6-crypt--  anywhere             anywhere
ACCEPT     ipv6-auth--  anywhere             anywhere
ACCEPT     udp  --  anywhere             224.0.0.251         udp dpt:5353
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipp
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLIS HED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-


iptables -t nat -L

Код: 
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


iptables -t mangle -L

Код: 
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
Контакти:  Zero_effect

  • AOL  AOL:
  • ICQ  ICQ: 94584818
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #4 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Ноември 25 2005, 14:44
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
така според това което си дал всички входящи заявки към машината на която е горният фаерлол за порт 8001 се приемат - до тук всичко би трябвало да е наред - сега кажи какво искаш да ги правиш тези пакети - доколкото разбрах искаш те да бъдат пренасочени към някаква вътрешна машина така че трябва да дадеш малко инфо - за кой локален адрес искаш да са тия пакети - и за кой негов порт
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #5 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Ноември 25 2005, 14:52
Zero_effect

Avatar




Група: Li maniacs
Мнения: 489
Регистриран: Юли 2005

Оценка: 5

Offline
Не съм го описал много правилно, затова ще го опиша отново:

Имам някакъв рутер най-отпред в системата (той получава интернетския адрес), а след него е сървърът с инсталиран Трак.

Поставих пренасочване на рутера към порт 8001 на сървъра с Трак, а на сървъра отворих порт 8001 (статистиките са от него).

Имам още един компютър в локалната мрежа, чрез който тествам дали мога да се завържа  към сървъра на съответния порт.

По мрежата се отваря, но по интернет нямам достъп.
Контакти:  Zero_effect

  • AOL  AOL:
  • ICQ  ICQ: 94584818
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #6 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Ноември 25 2005, 15:01
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
значи проблемът е в рутерът - не ти рутира правилно заявките - дай и неговият фаерлол да видиме как седят нещата там
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #7 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Ноември 25 2005, 15:52
Zero_effect

Avatar




Група: Li maniacs
Мнения: 489
Регистриран: Юли 2005

Оценка: 5

Offline
Нямам какво кой знае колко да кажа за рутера, защото той е хардуерен.

По описание:
Multi-Functional Broadband NAT Router (R1.97a19)

Настройка на виртуалните сървъри:
Forwarding rules
  • Virtual Server
    ID, IP, Port
    1. 192.168.123.x:80
    2. 192.168.123.x:22
    3. 192.168.123.x:8001

    x=ип-то на сървъра


Не са добавяни никакви филтрации на пакети.

Нямам идея какво повече мога да ти кажа.

Апачито и SSH-а работят.


Редактирано от Zero_effect на Ноември 25 2005, 15:52
Контакти:  Zero_effect

  • AOL  AOL:
  • ICQ  ICQ: 94584818
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #8 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Ноември 25 2005, 16:01
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
пробвай на друг порт (например на 8080) и следи какво става с пакетите по фаерлолът (добави iptables -t filter -L -v)
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #9 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Ноември 25 2005, 16:28
Zero_effect

Avatar




Група: Li maniacs
Мнения: 489
Регистриран: Юли 2005

Оценка: 5

Offline
Не бих казал, че има по-голяма разлика, а в същото време рутера не отчита никакво спиране на някой на порт 8080 в своя лог.

Код: 
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
 411 34775 RH-Firewall-1-INPUT  all  --  any    any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
   0     0 RH-Firewall-1-INPUT  all  --  any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 378 packets, 88053 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target     prot opt in     out     source               destination
   0     0 ACCEPT     all  --  lo     any     anywhere             anywhere
   0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp any
   0     0 ACCEPT     ipv6-crypt--  any    any     anywhere             anywhere
   0     0 ACCEPT     ipv6-auth--  any    any     anywhere             anywhere
   0     0 ACCEPT     udp  --  any    any     anywhere             224.0.0.251         udp dpt:5353
   0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:ipp
 386 33275 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
   0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            state NEW tcp dpt:ssh
   8   480 ACCEPT     tcp  --  any    any     anywhere             anywhere            state NEW tcp dpt:http
  15   900 ACCEPT     tcp  --  any    any     anywhere             anywhere            state NEW tcp dpt:webcache
   2   120 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited
Контакти:  Zero_effect

  • AOL  AOL:
  • ICQ  ICQ: 94584818
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #10
Skip to the previous post in this topic. Написано на: Ноември 25 2005, 17:00
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
ами ето - имаш 15 входящи пакета на порт 8080 (webcache) - значи всичко си бачка - притеснява ме нещо това че ACCEPT-ът се прави с проверка на tcp флагове - направи го за целият трафик на този порт (махни -m state --state NEW -m tcp от правилото)
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Общо 12 отговор(а) от Ноември 24 2005, 23:02 до сега
 » Начало » Li Форуми » Help & Support » Servers & Services » Trac, портове и ЦентОС

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums