LINUX.ORG.RU
ФорумAdmin

Что то блокирует соединение

 , , ,


0

1

Не могу соедениться с фтп(proftpd) сервером, а также с 80 портом(там nginx). Tcpdump смотрю - syn приходят на сервер, но ответа нет. Что может блокировать? В Ipdables нет никаких запрещающих правил.

Ubuntu jammy

★★★★
nginx как сделать лимит запросов на все сайты?
Stalward mail-server
Ответ на: комментарий от slowpony

ufw status verbose
Status: inactive

nft - это iptables, новый интерфейс... не знал, но там ничего блокирующего нет

iptables -nvL --line-numbers

Chain INPUT (policy ACCEPT 9 packets, 594 bytes)
num   pkts bytes target     prot opt in     out     source               destination
3        8   320 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
4       14   810 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
5     655K  282M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
6    1090K  462M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
7        2   104 ACCEPT     tcp  --  ens160 *       195.250.72.64/27     0.0.0.0/0            tcp dpt:2257
8     207K   10M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 1024:65535
9     3685  421K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 1024:65535
10       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW,ESTABLISHED
11       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 ctstate NEW,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DOCKER-USER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 DOCKER-ISOLATION-STAGE-1  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
4        0     0 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0
5        0     0 ACCEPT     all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0
6        0     0 ACCEPT     all  --  docker0 docker0  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 2008K packets, 553M bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain DOCKER (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0
2        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       all  --  *      docker0  0.0.0.0/0            0.0.0.0/0
2        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain DOCKER-USER (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

gobot ★★★★
() автор топика
Ответ на: комментарий от gobot

Они у вас на хосте крутятся или в какой-нибудь виртуалке или контейнере?

iptables -nvL --line-numbers

Покажите на всякий случай выхлоп iptables-save.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Локально. Сервер новый, настраивал первоначально не я, но чел который делал говорит что кроме iptables ничего нет...

*filter
:INPUT ACCEPT [9:594]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2008602:553256136]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 195.250.72.64/27 -i ens160 -p tcp -m tcp --dport 2257 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 1024:65535 -j ACCEPT
-A INPUT -p udp -m multiport --dports 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
# Completed on Tue Aug  6 00:51:09 2024
# Generated by iptables-save v1.8.7 on Tue Aug  6 00:51:09 2024
*nat
:PREROUTING DROP [60473:8594905]
:INPUT ACCEPT [201173:10540052]
:OUTPUT ACCEPT [21121:1297838]
:POSTROUTING ACCEPT [21121:1297838]
:DOCKER - [0:0]
-A PREROUTING -s 195.250.72.64/27 -i ens160 -p tcp -m tcp --dport 22 -j ACCEPT
-A PREROUTING -s 192.168.0.0/16 -j ACCEPT
-A PREROUTING -d 192.168.0.0/16 -j ACCEPT
-A PREROUTING -p tcp -m multiport --dports 1024:65535 -j ACCEPT
-A PREROUTING -p udp -m multiport --dports 1024:65535 -j ACCEPT
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/16 -o ens160 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
COMMIT

gobot ★★★★
() автор топика
Ответ на: комментарий от gobot

Совсем-совсем в небо. Запустить nc (netcat) сервером сначала на любом свободном из серверных порту (например 25 если почтаря нет) и попробовать удаленно к нему темже nc подсоединится и погонять байтики.

anc ★★★★★
()
Ответ на: комментарий от anc

Заметил ещё такую странность, если в iptables создать правило типа

iptables -I INPUT 1 -s host -j ACCEPT

То счетчик пакетов\байтов не увеличивается, когда делаешь запросы с host, как будто до фильтра е щё не доходит и уже блокируется где то

А если делать запросы на «рабочий» порт, например 8000 то увеличивается

gobot ★★★★
() автор топика
Последнее исправление: gobot (всего исправлений: 1)
Ответ на: комментарий от gobot

То счетчик пакетов\байтов не увеличивается, когда делаешь запросы с host

Он обращается к локальному процессу.

А если делать запросы на «рабочий» порт, например 8000 то увеличивается

Хорошо, что бы исключить FW, временно! очистите правила и поставьте политики в ACCEPT.

anc ★★★★★
()
Ответ на: комментарий от gobot 
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -F -t raw
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -X -t raw

Только не забудьте старые правила сохранить! Например:

iptables-save >/my-iptables

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от gobot

nft гораздо «больше» iptables, образно выражаясь.

iptables с бэкендом nf_tables создаёт и использует свои, отдельные таблицы. В них никто, кроме iptables, писать не должен.

т.е. ни iptables -nvL ни iptables-save не покажут весь объем правил nftables, как я понял.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
nginx как сделать лимит запросов на все сайты?
Admin
Stalward mail-server