И снова firewalld. Разрешить ESTABLISHED и RELATED

0

1

Всем дорого дня. Как открыть созданные приложением порты(всегда разные) через firewalld? Пробовал

 firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m state --state RELATED,ESTABLISHED -j ACCEPT

пишет что уже включено но эффекта нет.

Ссылка

←	Fail2Ban jail.local

автомасштабирование esxi

→

В седьмой центоси и федоре related и established разрешены по дефолту. Запрещены только new.

new открываются

firewall-cmd --permanent --add-port=3223/tcp
firewall-cmd --reload

Если не добавлять permanent, то можно без reload, применяются сразу, но при перезапуске/reload'е firewalld все настройки сбросятся.

Ivan_qrt ★★★★★
(05.09.17 13:55:50 MSK)

Ответ на: комментарий от Ivan_qrt 05.09.17 13:55:50 MSK

Теперь я запутался :-\

RELATED — пакет открывает новый сеанс, связанный с уже открытым сеансом. Например, во время сеанса пассивного FTP, клиент подсоединяется к порту 21 сервера, сервер сообщает клиенту номер второго, случайно выбранного порта, после чего клиент подсоединяется ко второму порту для передачи файлов. В этом случае второй сеанс (передача файлов по второму порту) связан с уже существующим сеансом (изначальное подсоединение к порту 21). http://help.ubuntu.ru/wiki/iptables

То есть это как бы и есть новый порт но привязанный к процессу, это и есть related. ( Могу ошибаться :-\ )

С ручным добавлением портов всё понятно, но вопрос как раз в автоматике.

regline
(05.09.17 16:10:28 MSK) автор топика

Ответ на: комментарий от regline 05.09.17 16:10:28 MSK

есть вещи, про которые уже давно подумали, и не стоит про них больше думать.

RELATED,ESTABLISHED значит прошедшие через коннтрек и различные nat хелперы.

anonymous
(05.09.17 17:58:10 MSK)

Ссылка

Ответ на: комментарий от regline 05.09.17 16:10:28 MSK

Fedora 26 с firewalld:

$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

...

В центоси вроде тоже самое. Т.е. RELATED принимаются отовсюду.

С остановленным firewalld работает? Уверен, что проблема в нём?

Ivan_qrt ★★★★★
(05.09.17 22:51:35 MSK)

Ответ на: комментарий от Ivan_qrt 05.09.17 22:51:35 MSK

С остановленным firewalld работает? Уверен, что проблема в нём?

При остановке firewalld работает. при ручном открытии созданного сервисом порта тоже работает. То есть это новый порт не цепляется к уже разрешенным портам и процессам и не распознается как RELATED что-ли... За два дня пришёл к выводу что firewalld до сих пор почти не используется, а когда возникают подобные проблемы - его выключают и включают iptables в котором всё известно. Думаю тему можно закрыть нерешенной, когда разберусь - допишу чем кончилось.

regline
(06.09.17 09:03:53 MSK) автор топика

Ответ на: комментарий от regline 06.09.17 09:03:53 MSK

Что за приложение? Если какой-нибудь FTP или SIP - убедись что conntrack-модули загружены и назначены на нужные базовые порты, ибо в новых ядрах автоматическое назначение helper-ов conntrack по умолчанию вырубили

Pinkbyte ★★★★★
(06.09.17 20:41:19 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Fail2Ban jail.local

Admin

автомасштабирование esxi

→

Похожие темы