Красношляпые опять накосячили в конфигураторе?

а ви таки пользуетесь гуёвыми конфигураторами на сервере?

>Проверяешь содержимое iptables - и точно, никаким правилом для sshd там и не пахнет.

Приходится в нем вручную прописывать

-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

Полагаю, во избежание подобных «ошибок редхата», вам стоит заучить наизусть /etc/services.

Какие же это гуевые? Самая что ни на есть обычная консольная утилита, такая же, как и все их семейство system-config-***

chukcha

Какие же это гуевые? Самая что ни на есть обычная консольная утилита, такая же, как и все их семейство system-config-***

Специально проверил: таки gui'овая. И да, RFR13/14 - работает. Сам пользуюсь этой тулзой при настройке свеже установленной системы - маскарад настраиваю для раздачи инета по wi-fi (ssh там по умолчанию в доверенных службах).

Ха! Так ты ее, видать, в Иксах запускаешь? :)
Но я до такого не додумался. Запускаю в консоли, потому и ведет себя как консольная.

Однако мы отвлеклись от сабжа. Что насчет ошибки в конфигураторе?

Не знаю даже. В графическом всегда как надо отрабатывает (тьфу-тьфу-тьфу).

> Что насчет ошибки в конфигураторе

Не наблюдается никакой ошибки, только что специально проверила

Наверное, просто требуется апдейт.

> Наверное, просто требуется апдейт

Вчера yum update делала :-)

Не, это ТС касается =)

прозреваю лукавого лукавца в ТС я:

Запускаю в консоли, потому и ведет себя как консольная.

[sanja@tomcat ~]$ yum info system-config-firewall
Загружены модули: langpacks, presto, refresh-packagekit
Adding ru_RU to language list
Установленные пакеты
Name        : system-config-firewall
Arch        : noarch
Version     : 1.2.27
Release     : 1.fc14
Size        : 576 k
Репозиторий : installed
From repo   : fedora
Summary     : A graphical interface for basic firewall setup
Ссылка      : http://fedorahosted.org/system-config-firewall
License     : GPLv2+
Описание    : system-config-firewall is a graphical user interface for basic
            : firewall setup.

ну и расскажи, как ты graphical user interface консольно пользуешь?

-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

кстатя, сердце моё, погугли что висит на 21-ом порту и на каком порту по умолчанию висит ssh.
в общем в топку, тролота.

Опаньки, ну конечно же 22-й порт!!!
Машинальную ошибку сделал, когда набирал строку, и сразу не заметил ее.
Так что насчет 21-го порта плюньте и разотрите, речь конечно же не о ftp.

Еще раз рисую картину маслом:

1. Ставлю новую Федору-14.
2. Полный апдейт.
3. Стартую sshd, все Ok.
4. Стучу на него снаружи по 22 - фигвам.
5. Останавливаю iptables - теперь нормально, коннектится.
6. Проверяю по system-config-firewall - звездочка напротив ssh стоит, т.е. доступ по ssh разрешен.
7. Но на само деле это не так - в /etc/sysconfig/iptables нет и намека на правило для 22-й порта.
8. Дописываю его руками, рестартую файер - теперь нормально, коннектится.

Для тех, кто таки и не понял, в чем я вижу ошибку конфигуратора:
- во всех версиях Федор (по крайней мере с 8-й) если в п.6 ssh-звездочка установлена, то ssh-доступ есть.

В 14-й же - что ставь ее, что не ставь - один фиг доступа нет.

PS. Кому не нравится гуевый system-config-firewall -запустите консольный setup, там точно такая же настройка фаера.

странная у тебя федора, дефолтный конфиг на десктопе, вообще не трогал настройки:

[sanja@tomcat ~]$ sudo cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

> 22-ой открыт, сам смотри. вот то, что доступ на сетевой интерфейс по умолчанию закрыт, это да.

Так и у меня раньше так же и было. И в Центосе все нормально.
Пока не связался с «Русской Федорой» RFedora - уже все не так.
Видать, в ней умельцы и накосячили.
Да и в вообще с сетевыми настройками в ней как-то странно - NetworkManager с настройками работает, а привычный system-config-network интерфейса почему-то не видит.
И т.д.

>Пока не связался с «Русской Федорой» RFedora

RFedora

вот и ответ), у меня была мысль, что речь идёт о RF, но смотрю в топе вроде наезд чисто на федору)))

Да, звыняйте, пановье, не уточнил сразу..

Да, звыняйте, пановье

Нэ звыню. ~10 машин с RFR14, доступ по ssh был искаропки. За одной сейчас сижу вот:

0 [20:25:08] <nbw:~> sudo iptables-save
^ [09:23:36] <ad0> [sudo] password for nbw: 
# Generated by iptables-save v1.4.9 on Mon Jan 10 09:23:39 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8296136:1275398772]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Mon Jan 10 09:23:39 2011

Более того, ни разу не встречался с невозможностью изкоробочного доступа по ssh. Сдаётся мне, вы - тролль.

> 22-ой открыт, сам смотри. вот то, что доступ на сетевой интерфейс по умолчанию закрыт, это да.

доступ на сетевой интерфейс

К-куда? о_о Где? Похоже, мимо меня прошёл целый пласт реальности :-[

>К-куда?

ну найди мне в правилах строку вида:
-A INPUT -i ethX(wlanX, pppX) -j ACCEPT
потом рассуждай и удивляйся, спец.

> ну найди мне в правилах строку вида:

Ну найди мне в правилах строку вида

-A INPUT -i $<interface> -j [DROP|REJECT]

а потом уже пиши, что закрыт доступ _на сетевой интерфейс_ ;)

А то, что по умолчанию запрещён весь INPUT, кроме того, который разрешён - это такое фундаментальное правило файрвола. Иначе зачем он нужон-то, м?

> 7. Но на само деле это не так - в /etc/sysconfig/iptables нет и намека на правило для 22-й порта.

Почитал тему, стало интересно. Изошник есть, но ставить в виртуалке и проверять сейчас лень. Какие права на /etc/sysconfig/iptables? И что если погрепать название этого файла по конфигуратору? Он на питоне же, может там элементарная описка где в названии, или режиме доступа и в него ничего не пишется.

Вот щас проверил (в консольном режиме, как у ТС'а), system-config-firewall вполне успешно добавляет правила (для тестирования был добавлен INPUT на порт 21, ибо 22 открыт и так, по дефолту). Проверялось через iptables-save и cat /etc/sysconfig/iptables. RFR14 с двухнедельной давности обновлениями. Вообще, есть мнение, что тема изначально 4.2

Спасибо, вопрос снят.