LINUX.ORG.RU
решено ФорумAdmin

port 80/tpc filtered

 , ,


0

1

Здравствуйте.

Без лирики
Работает компьютер раздающий интернет с двумя сетевыми картами:eth0 и eth1. Eth0 с белым айпи смотрит в интернет, а eth1 раздаёт интернет в локальную сеть. На компьютеры работают сервисы: snort, denyhost, squid, poertsentry и firewall. Так же настроено перенаправление правилами iptables с 80 порта eth0, через eth1 на 80 порт компьютера в локальной сети. На компьютере в локальной сети запущен сайт, на который заходят посетители из глобальной сети. 4 дня назад заметил, что закрылся 80 порт.

ivit.pro на eth0 с белым айпи показывает: 

80 TCP-недоступен UDP-недоступен HTTP

nmap eth0 белого айпи показывает: 

Not shown: 984 closed ports
PORT      STATE    SERVICE
1/tcp     open     tcpmux
79/tcp    open     finger
80/tcp    filtered http
111/tcp   open     rpcbind

nmap - Pn до компьютера в локальной сети, на который идёт перенаправление с белого айпи 

Not shown: 994 filtered ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
5357/tcp  open  wsdapi
6666/tcp  open  irc
49158/tcp open  unknown

Что сделал
3 часа смотрел подобные проблемы в гугле и позвонил провайдеру, с надеждой, что он блокирует порт. Отключал snort, denyhost, poertsentry и firewall. Поочерёдно и все вместе. Подумал, что не работает перенаправление и проверил правила iptables — они не менялись. К сожалению результата не дало. Помогите пожалуйста решить проблему. Если нужны детали, то спрашивайте.



Последнее исправление: AntonGS (всего исправлений: 6)
ansible, удалить последний символ в строке
Altlinux скрипт

tcpdump показывает входящие запросы на 80 порт eth0? Если да - тогда косяк скорее всего в файрволе, если нет - приседай на уши провайдеру

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Спасибо за совет. Часть вывода tcpdump -i <INTERFACE> port 80 

16:05:39.399386 IP 89.111.188.126.http > proxy.local.48250: Flags [F.], seq 2932226584, ack 1395142213, win 61, options [nop,nop,TS val 86819766 ecr 1761573], length 0
16:05:39.399462 IP proxy.local.48250 > 89.111.188.126.http: Flags [F.], seq 1, ack 1, win 419, options [nop,nop,TS val 1776180 ecr 86819766], length 0
16:05:39.465001 IP 89.111.188.126.http > proxy.local.48250: Flags [.], ack 2, win 61, options [nop,nop,TS val 86819783 ecr 1776180], length 0
16:05:40.010318 IP proxy.local.49317 > 89.111.188.80.http: Flags [F.], seq 3262773714, ack 339134743, win 419, options [nop,nop,TS val 1776333 ecr 86805588], length 0
16:05:40.081488 IP 89.111.188.80.http > proxy.local.49317: Flags [F.], seq 1, ack 1, win 61, options [nop,nop,TS val 86820536 ecr 1776333], length 0
16:05:40.081516 IP proxy.local.49317 > 89.111.188.80.http: Flags [.], ack 2, win 419, options [nop,nop,TS val 1776350 ecr 86820536], length 0
16:05:45.908157 IP proxy.local.49871 > 93.184.220.29.http: Flags [S], seq 2095795411, win 29200, options [mss 1460,sackOK,TS val 1777807 ecr 0,nop,wscale 7], length 0
^C16:05:50.009797 IP proxy.local.41791 > 85.10.234.30.http: Flags [F.], seq 2837153614, ack 1207831408, win 419, options [nop,nop,TS val 1778832 ecr 674373823], length 0

25 packets captured
152 packets received by filter
121 packets dropped by kernel
Как я понимаю, входящие пакеты из интернета есть и виноват какой-то файрвол?

AntonGS
() автор топика
Ответ на: комментарий от AntonGS

89.111.188.126 - это твой адрес на eth0? Если да, тогда ты прав. Если нет - тогда это запросы не на 80 порт, а ответы с 80 порта - судя по proxy.local у тебя еще какой-то прокси на этом сервере

Pinkbyte ★★★★★
()
Ответ на: комментарий от AntonGS

Начать с:
На роутере:
tcpdump -i eth0 -n dst port 80 and host ваш-белый-ip

Одновременно на сервере в локалке куда проброшен порт
tcpdump -n dst port 80

Сравниваем результат. Если пакеты до «сервер в локалке доходят» то смотрим в обратном порядке улетают ли ответы с eth0 на роутере.

anc ★★★★★
()
Ответ на: комментарий от anc

Решил

На локальном компьютере брэндмауер заблокировал апач по 80 порту. Причём в самом брэндмауере для апача правила разрешены были. Вероятно он их просто не выполнял. Теперь перенаправление работает, правда снаружи сканер портов показывает, что всё закрыто.

AntonGS
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
ansible, удалить последний символ в строке
Admin
Altlinux скрипт