LINUX.ORG.RU
ФорумSecurity

linux закрывает все порты


0

0

Вопрос такой. Сижу в терминале через ssh. Без видимых на то причин putty пишет "Connection refused" Захожу не пускает с тойже ошибкой. На apache не заходит пишет сервер не найден iptables выключаю начинаю работать тоже самое Из винды делаю nmap a.b.c.d ответ такой

Interesting ports on a.b.c.d: Not shown: 1675 closed ports PORT STATE SERVICE 21/tcp filtered ftp 23/tcp filtered telnet 80/tcp filtered http 254/tcp filtered unknown 255/tcp filtered unknown Проходит время (всегда по разному, от 5сек до нескольких часов)

Повторяю C:\Program Files\Nmap>nmap.exe a.b.c.d

Interesting ports on a.b.c.d: Not shown: 1673 filtered ports PORT STATE SERVICE 20/tcp closed ftp-data 21/tcp open ftp 777/tcp closed unknown 2022/tcp open down 4662/tcp closed edonkey 4672/tcp closed rfa 8888/tcp open sun-answerbook

Все порты открыты так как в iptables прописано. Теперь могу заходить. Выключал iptables, обновлял ядро, переставлял дистрибутив (ну это не только по этим причинам), обновлял iptables (хотя он не при делах). При проблеме из локалки через эту машину люди ходят в инет (http,pop3,smtp,icq) без проблем. Еще один момент, при выключении в iptables входящих icmp при проблеме сервер не пингуется, при появлении проблемы ответ есть. uname -a Linux server 2.6.17-1.2142.1asp iptables v1.3.3 Помогите кто чем может )


Возвращаясь к напечатанному...
Clamav ругается: ERROR: Not a TXT record

я думаю нужно зайти с локальной консоли и посмотреть iptables -L

может там винты перегреваются или заполняются 100%

theserg ★★★
()
Ответ на: комментарий от theserg

Про винты - отпадает. А про iptables -L попробую, просто нужно на месте быть. Как буду попробую, тогда отпишусь.

manas
() автор топика
Ответ на: комментарий от manas

Поставил iptables -L в crontab через каждую минуту. Создал мне 827 файлов. Все одинаковые. Последний из них привожу здесь. Chain INPUT (policy DROP) target prot opt source destination bad_tcp_packets tcp -- anywhere anywhere ACCEPT all -- 192.168.0.0/24 anywhere ACCEPT all -- anywhere anywhere ACCEPT udp -- anywhere anywhere udp spt:bootpc dpt:bootps ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED tcp_packets tcp -- anywhere anywhere udp_packets udp -- anywhere anywhere icmp_packets icmp -- anywhere anywhere ACCEPT tcp -- localhost.localdomain anywhere tcp dpt:sunrpc DROP tcp -- !192.168.0.0/24 anywhere tcp dpt:sunrpc DROP udp -- !192.168.0.0/24 anywhere udp dpt:sunrpc DROP all -- anywhere BASE-ADDRESS.MCAST.NET/8 DROP all -- anywhere anywhere limit: avg 3/min burst 3

Chain FORWARD (policy DROP) target prot opt source destination bad_tcp_packets tcp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED DROP all -- anywhere anywhere limit: avg 3/min burst 3

Chain OUTPUT (policy DROP) target prot opt source destination bad_tcp_packets tcp -- anywhere anywhere ACCEPT all -- localhost.localdomain anywhere ACCEPT all -- server anywhere ACCEPT all -- anywhere anywhere DROP all -- anywhere anywhere limit: avg 3/min burst 3

Chain allowed (3 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED DROP tcp -- anywhere anywhere

Chain bad_tcp_packets (3 references) target prot opt source destination REJECT tcp -- anywhere anywhere tcp flags:SYN,ACK/SYN,ACK state NEW reject-with tcp-reset DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW

Chain icmp_packets (1 references) target prot opt source destination DROP icmp -f anywhere anywhere ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp time-exceeded

Chain tcp_packets (1 references) target prot opt source destination allowed tcp -- anywhere anywhere tcp dpt:2022 allowed tcp -- anywhere anywhere tcp dpt:8888 allowed tcp -- anywhere anywhere tcp dpts:ftp- data:ftp

Chain udp_packets (1 references) target prot opt source destination ACCEPT udp -- anywhere anywhere udp spt:domain ACCEPT udp -- ns.kubanol.ru anywhere udp spt:domain ACCEPT udp -- ns.kuban.ru anywhere udp spt:domain ACCEPT udp -- anywhere anywhere udp spt:2074 ACCEPT udp -- anywhere anywhere udp spt:4000 ACCEPT udp -- anywhere anywhere udp dpts:ftp- data:ftp DROP udp -- anywhere anywhere udp dpts:135:netbios-ssn DROP udp -- anywhere 255.255.255.255 udp dpts:bootps:bootpc

manas
() автор топика
Ответ на: комментарий от manas

Ну ты и намудрил там с iptables... Честно говоря, не очень понимаю зачем там все эти навороты. Вообще, первое что пришло в голову - может переполняться кэш conntrack (при этом он сообщает об этом в syslog), в результате чего state NEW оказывается верным даже для не-новых пакетов, и начинают срабатывать правила срезающие "левые" пакеты, но на правильных пакетах (которые надо пропускать). С дефолтными настройками conntrack переполнение вызывает, к примеру, стандартное сканирование nmap-ом, так что если кто-то этим делом занимается из ходящих через этот шлюз (ну или ещё что-то аналогичное что много соединений открывает - p2p какие-нибудь к примеру) - это может вызвать такую проблему. Посмотри нет ли в syslog сообщений об этом, попробуй убрать проверки по state...

Кстати, для отладки посмотри несколько последовательных выводов `iptables -vL` - это выведет также счётчики срабатываний по каждому правилу, из которых можно сделать вывод, какое правило режет пакеты.

slav ★★
()

в логах что? (хотя, как мне кажется, логов нет, а девайс - рутер\адсл модем?)
нечто похожее (но без отключения теущей сессии) было, когда извне много коннектов было на ссш. переставало пускать

anonymous
()
21 ноября 2006 г.
Ответ на: комментарий от manas

>Девайс adsl модем - мост.

О ! эти сцуки иногда виснут , например мой домовой zyxel prestige не выдерживает nmap - тоесть когда я сканю изнутри хост в сети прова , то он охреневает и интернет сдыхает - даже пинг не проходит

j262 ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Возвращаясь к напечатанному...
Security
Clamav ругается: ERROR: Not a TXT record