CentOS 7 блокирует порт несмотря ни на что.

0

1

Привет, народ, я что- то уже всю голову поломал себе :) Значит

CentOS Linux release 7.9.2009 (Core)

systemctl status firewalld
● firewalld.service
   Loaded: masked (/dev/null; bad)
   Active: inactive (dead)

На всякий случай

 ufw status
-bash: ufw: command not found

Правила iptables:

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:zabbix-agent
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:zabbix-trapper
ACCEPT     tcp  --  192.168.0.0/22       anywhere             tcp dpt:5038
ACCEPT     tcp  --  192.168.2.0/24       anywhere             tcp dpt:5038
ACCEPT     tcp  --  192.168.20.0/24      anywhere             tcp dpt:5038
ACCEPT     udp  --  192.168.20.0/24      anywhere             udp dpt:sip
ACCEPT     udp  --  192.168.0.0/22       anywhere             udp dpt:sip
ACCEPT     udp  --  192.168.2.0/24       anywhere             udp dpt:sip
ACCEPT     udp  --  195.9.78.0/24        anywhere             udp dpt:sip
ACCEPT     udp  --  195.34.37.0/24       anywhere             udp dpt:sip
ACCEPT     udp  --  31.184.230.0/24      anywhere             udp dpt:sip
ACCEPT     udp  --  62.176.26.0/24       anywhere             udp dpt:sip
ACCEPT     udp  --  192.168.6.0/24       anywhere             udp dpt:sip
ACCEPT     udp  --  anywhere             anywhere             udp dpt:45677
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     udp  --  anywhere             anywhere             udp dpts:afs3-fileserver:dnp
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Собственно, как не трудно догадаться, на сервере телефония, делал его не я. Я сижу в 62.176.26.0 и пытаюсь долбиться на сервак по 5060 sip клиентом, но получаю таймаут, не пойму где косяк, ведь все фаерволлы выключены, кроме iptables, причем сервак как- то люто бешено рубит к себе все коннекты кроме локалки.

Куда копать?

Ссылка

←	Замена ядра на более новое

Сделать копию-бекап строки конфига и изменить активную строку конфига

→

Для начала
# tcpdump -i any -ln net 62.176.26.0/24
а то вдруг это таки не вы

ЗЫ

все фаерволлы выключены, кроме iptables

вантуз?

anc ★★★★★
(14.02.22 12:04:47 MSK)

Ответ на: комментарий от anc 14.02.22 12:04:47 MSK

А что вантуз?)

The_Newbe
(14.02.22 12:07:26 MSK) автор топика

А сервиса iptables у тебя нет часом?

Aceler ★★★★★
(14.02.22 12:09:41 MSK)

Ответ на: комментарий от The_Newbe 14.02.22 12:07:26 MSK

Пользователь виндоус aka виндузятник aka вантузятник aka вантуз.

anc ★★★★★
(14.02.22 12:10:31 MSK)

Ссылка

Ответ на: комментарий от Aceler 14.02.22 12:09:41 MSK

есть

The_Newbe
(14.02.22 12:10:56 MSK) автор топика

Ответ на: комментарий от anc 14.02.22 12:04:47 MSK

Просто тишина, причем я прямо щас на нем по ssh сижу :)

The_Newbe
(14.02.22 12:13:01 MSK) автор топика

Ответ на: комментарий от The_Newbe 14.02.22 12:13:01 MSK

Выполните who и посмотрите на выхлоп

anc ★★★★★
(14.02.22 12:14:04 MSK)
Последнее исправление: anc 14.02.22 12:14:55 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от The_Newbe 14.02.22 12:10:56 MSK

Сервис iptables служит, чтобы загружать правила iptables при загрузке. Если я правильно помню - где-то в /etc/iptables-save, посмотри в мане.

Вывод )

Aceler ★★★★★
(14.02.22 12:14:10 MSK)
Последнее исправление: Aceler 14.02.22 12:15:11 MSK (всего исправлений: 1)

Ответ на: комментарий от Aceler 14.02.22 12:14:10 MSK

Не понимаю, к чему ты клонишь, ну правила там в шаблон вписаны и с него же подтягиваются при перезапуске службы, или я не туда думаю?)

The_Newbe
(14.02.22 12:15:25 MSK) автор топика

Ответ на: комментарий от The_Newbe 14.02.22 12:15:25 MSK

iptables-save покажет все ваши правила.

anc ★★★★★
(14.02.22 12:17:14 MSK)

Ответ на: комментарий от anc 14.02.22 12:17:14 MSK

хм, есть /etc/sysconfig/iptables.save

но правила тянутся не оттуда, а из /etc/sysconfig/iptables, я обычно туда пишу, ну для примера открывал 80й порт, и это срабатывало

The_Newbe
(14.02.22 12:18:34 MSK) автор топика

Ответ на: комментарий от The_Newbe 14.02.22 12:18:34 MSK

Блин, команда iptables-save

anc ★★★★★
(14.02.22 12:19:12 MSK)

Ссылка

ACCEPT     all  --  anywhere             anywhere

Что, прямо так? И не пускает?!

«iptables -L» это как аниме с цензурой.

«iptables -nvxL» - значительно полезнее. Там счетчики видны, по которым можно понять срабатывает правило или нет.

«iptables -t nat -nvxL» пустой?

А сколько сетевых интерфейсов в системе?

смотри tcpdump-ом есть ли входящие пакеты на порт 5060. Может их кто-то по пути режет.

vel ★★★★★
(14.02.22 12:20:39 MSK)

Ответ на: комментарий от The_Newbe 14.02.22 12:18:34 MSK

А ты не рулишь Asterisk с помошью freepbx? У нее есть свой какой то смарт фаервол, может это он не пущает?

alex_sim ★★★★
(14.02.22 12:20:46 MSK)

Ответ на: комментарий от alex_sim 14.02.22 12:20:46 MSK

Не, он тут голый, без freepbx

The_Newbe
(14.02.22 12:25:25 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 14.02.22 12:20:39 MSK

Да, iptables -t nat -nvxL пустой

iptables -t nat -nvxL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

А iptables -nvxL

Даёт во

iptables -nvxL
Chain INPUT (policy DROP 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
   13827  7440151 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  481073 86550721 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
      33     1960 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
     446    26760 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10050
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10051
       0        0 ACCEPT     tcp  --  *      *       192.168.0.0/22       0.0.0.0/0            tcp dpt:5038
       0        0 ACCEPT     tcp  --  *      *       192.168.2.0/24       0.0.0.0/0            tcp dpt:5038
       0        0 ACCEPT     tcp  --  *      *       192.168.20.0/24      0.0.0.0/0            tcp dpt:5038
       0        0 ACCEPT     udp  --  *      *       192.168.20.0/24      0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       192.168.0.0/22       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       192.168.2.0/24       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       195.9.78.0/24        0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       195.34.37.0/24       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       31.184.230.0/24      0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       62.176.26.0/24       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       192.168.6.0/24       0.0.0.0/0            udp dpt:5060
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:45677
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    3530   467987 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:7000:20000
    1136   117117 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 494917 packets, 95812723 bytes)
    pkts      bytes target     prot opt in     out     source               destination

В системе 3 интерфейса, tcpdump выдает с моей подсетки ток ssh, по 5060 вообще 0

The_Newbe
(14.02.22 12:28:13 MSK) автор топика

Ответ на: комментарий от The_Newbe 14.02.22 12:28:13 MSK

с моей подсетки ток ssh, по 5060 вообще 0

я бы политики ACCEPT временно сделал, чтоб удостовериться что не iptables это

ну и запусти

asterisk -rvvvvv

поглядеть есть ли попытки какие то про tcpdump уже сказали

alex_sim ★★★★
(14.02.22 12:32:46 MSK)

Ответ на: комментарий от alex_sim 14.02.22 12:32:46 MSK

Вот прямо щас вписал:

-A INPUT -p udp -m udp --dport 5060 -j ACCEPT

ACCEPT     udp  --  anywhere             anywhere             udp dpt:sip

Врубаю сип клиент и просто ничего не приходит, только ssh трафик


12:36:58.233474 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2310592:2310880, ack 2081, win 1432, length 288
12:36:58.233766 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2310880:2311056, ack 2081, win 1432, length 176
12:36:58.248025 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2310592, win 1025, length 0
12:36:58.248050 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311056:2311232, ack 2081, win 1432, length 176
12:36:58.248473 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2311056, win 1024, length 0
12:36:58.248491 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311232:2311520, ack 2081, win 1432, length 288
12:36:58.248692 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311520:2311808, ack 2081, win 1432, length 288
12:36:58.263140 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2311520, win 1022, length 0
12:36:58.263165 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311808:2311984, ack 2081, win 1432, length 176
12:36:58.263415 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2311984:2312272, ack 2081, win 1432, length 288
12:36:58.277971 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2311984, win 1026, length 0
12:36:58.277999 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2312272:2312448, ack 2081, win 1432, length 176
12:36:58.278240 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2312448:2312736, ack 2081, win 1432, length 288
12:36:58.293388 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2312736, win 1023, length 0
12:36:58.293428 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2312736:2312912, ack 2081, win 1432, length 176
12:36:58.293674 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2312912:2313200, ack 2081, win 1432, length 288
12:36:58.293877 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2313200:2313376, ack 2081, win 1432, length 176
12:36:58.308271 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2312912, win 1022, length 0
12:36:58.308313 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2313376:2313552, ack 2081, win 1432, length 176
12:36:58.308631 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2313376, win 1021, length 0
12:36:58.308643 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2313552:2313840, ack 2081, win 1432, length 288
12:36:58.308874 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2313840:2314176, ack 2081, win 1432, length 336
12:36:58.323491 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2313840, win 1026, length 0
12:36:58.323515 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2314176:2314352, ack 2081, win 1432, length 176
12:36:58.323736 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2314352:2314640, ack 2081, win 1432, length 288
12:36:58.337993 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2314352, win 1024, length 0
12:36:58.338011 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2314640:2314816, ack 2081, win 1432, length 176
12:36:58.338227 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2314816:2315104, ack 2081, win 1432, length 288
12:36:58.352856 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2315104, win 1021, length 0
12:36:58.352892 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315104:2315280, ack 2081, win 1432, length 176
12:36:58.353103 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315280:2315568, ack 2081, win 1432, length 288
12:36:58.353343 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315568:2315744, ack 2081, win 1432, length 176
12:36:58.367934 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2315280, win 1020, length 0
12:36:58.368001 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315744:2315920, ack 2081, win 1432, length 176
12:36:58.368008 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2315744, win 1026, length 0
12:36:58.368274 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2315920:2316304, ack 2081, win 1432, length 384
12:36:58.368501 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2316304:2316480, ack 2081, win 1432, length 176
12:36:58.383287 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2316480, win 1023, length 0
12:36:58.383313 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2316480:2316656, ack 2081, win 1432, length 176
12:36:58.383559 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2316656:2316944, ack 2081, win 1432, length 288
12:36:58.383810 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2316944:2317120, ack 2081, win 1432, length 176
12:36:58.398249 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2316656, win 1023, length 0
12:36:58.398273 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2317120:2317296, ack 2081, win 1432, length 176
12:36:58.398389 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2317120, win 1021, length 0
12:36:58.398613 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2317296:2317680, ack 2081, win 1432, length 384
12:36:58.398816 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2317680:2317856, ack 2081, win 1432, length 176
12:36:58.414574 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [.], ack 2317856, win 1026, length 0
12:36:58.414608 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2317856:2318032, ack 2081, win 1432, length 176
12:36:58.414824 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2318032:2318320, ack 2081, win 1432, length 288
12:36:58.415100 IP 95.165.42.14.ssh > 62.176.26.200.54358: Flags [P.], seq 2318320:2318496, ack 2081, win 1432, length 176
12:36:58.424734 IP 62.176.26.200.54358 > 95.165.42.14.ssh: Flags [P.], seq 2081:2145, ack 2317856, win 1026, length 64

Причем так я уже делал и астер почти через уже начали упорно брутфорсить :)

The_Newbe
(14.02.22 12:38:01 MSK) автор топика

Ответ на: комментарий от The_Newbe 14.02.22 12:38:01 MSK

Ну и нафига нам эта простыня с ssh?

запусти «tcpdump -ni any not port 22» или «tcpdump -ni any port 5060»

vel ★★★★★
(14.02.22 12:51:03 MSK)

Ответ на: комментарий от vel 14.02.22 12:51:03 MSK

я думал sip там тоже отобразит, если прилетит..

13:01:26.469019 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:26.966959 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:27.977729 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:28.492887 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:28.984725 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:29.984941 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:30.512670 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:31.003062 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:32.011861 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0
13:01:34.011292 IP 62.176.26.xxx.localinfosrvr > 192.168.3.104.sip: SIP: REGISTER sip:89.175.153.106:45677;transport=UDP SIP/2.0

The_Newbe
(14.02.22 13:05:39 MSK) автор топика

tcpdump cмотреть приходит ли на него что-то вообще
посмотреть не включен ли selinux? если да - смотреть его логи, выключить и попробовать без него. заработает - раскуривать как в селинухе открывают порты

hungry_ewok
(14.02.22 13:29:53 MSK)

Ответ на: комментарий от hungry_ewok 14.02.22 13:29:53 MSK

да вот только что посмотрели :) про селинукс в 1м посте

The_Newbe
(14.02.22 13:34:12 MSK) автор топика

Ссылка

nft list ruleset

~~naKovoNapalBaran~~ ★
(14.02.22 15:28:40 MSK)

Ответ на: комментарий от naKovoNapalBaran 14.02.22 15:28:40 MSK

nft list ruleset
-bash: nft: command not found

The_Newbe
(14.02.22 15:53:09 MSK) автор топика
Последнее исправление: The_Newbe 14.02.22 15:53:30 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от The_Newbe 14.02.22 13:05:39 MSK

Какая интересная схема сети. Публичный IP адрес живет в какой-то внутренней сети, где могут роутиться частные серые IP-адреса?

Уверен, что SIP-сервер отвечая на адрес 62.176.26.xxx отвечает именно тебе, а не кидает пакеты в свой default gw?

BOOBLIK ★★★★
(14.02.22 16:41:57 MSK)

Ответ на: комментарий от BOOBLIK 14.02.22 16:41:57 MSK

Вобще было бы интересно посмотреть на набросок схемы сети, где вот это всё работает именно в виде публичный адрес хоста + приватный адрес хоста рядом.

BOOBLIK ★★★★
(14.02.22 16:45:49 MSK)

Ответ на: комментарий от BOOBLIK 14.02.22 16:41:57 MSK

Да ничего интересного, один интерфейс с инетом от провайдера, там у него прописан ип/маска/шлюз/днс Второй смотрит в локалку, в нем прописаны только днс и маска, нужен для того, что бы заливать бекапы в файлопомойку, которая стоит в локалке Третий подключен к свичу, а к свичу все сип телефоны, на этом же интерфейсе висити DHCP и выдает настройки телефонам. На самом интерфейсе тоже прописан только ип и маска

The_Newbe
(14.02.22 16:56:25 MSK) автор топика

Ответ на: комментарий от BOOBLIK 14.02.22 16:45:49 MSK

тут не оч вкурил в каком виде желаете видеть

The_Newbe
(14.02.22 16:58:15 MSK) автор топика

Ссылка

С чего ты взял, что виноват именно iptables?

Впрочем, ответ становится ясен, как только видно, что ты не в состоянии даже tcpdump без подсказок запустить, или отключить iptables, чтобы понять что дело не в нём, а уж про такие вещи как описание интерфейсов, масок сети, роутинга, прочей «ненужной херни» и подавно лучше тебя не спрашивать.

Удивлён, что столько желающих помочь нашлось, я обычно такой мусор игнорирую

~~zgen~~ ★★★★★
(14.02.22 17:07:10 MSK)