Волшебное не открывание портов(need help)
Форум — Admin
Здравствуйте. Имеется машина с debian 11(сервер, консоль, x86), две сетевухи -одна наружу, вторая внутрь, ONT huawei HG8245 для связи с миром. Две важные задачи машины - раздавать интернет и веб сервер. Интернет раздаётся, сайт работает в локалке отлично, НО... Закрылись все входящие порты, сайт снаружи стал недоступен. Ковырялось всё, что можно, из всего прочего были перезаписаны правила iptables с обнулением таблицы. Голову сломал. Задача - открыть порты и сделать сайт вновь доступным из вне. В какую сторону копать, может кто из вас подскажет. Вот данные для размышления:
$ iptables-save
*filter
:INPUT DROP [13153:762179]
:FORWARD DROP [13471:5673163]
:OUTPUT ACCEPT [38831:6190519]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dports 22,53,67 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -p tcp -m multiport --dports 80,443 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [48651:7808220]
:INPUT ACCEPT [11887:821897]
:OUTPUT ACCEPT [11600:1146958]
:POSTROUTING ACCEPT [11600:1146958]
-A PREROUTING -i enp2s1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -i enp2s1 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.1
-A POSTROUTING -s 192.168.0.0/24 -o enp2s1 -j MASQUERADE
COMMIT
$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: enp2s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.1/24 brd 192.168.0.255 scope global enp2s8
valid_lft forever preferred_lft forever
3: enp2s1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
inet XX.XXX.XXX.XX/XX brd XX.XXX.XXX.XXX scope global dynamic enp2s1
valid_lft 582sec preferred_lft 582sec
$ netstat -pnltu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 604/mariadbd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 614/apache2
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 558/sshd: /usr/sbin
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 520/named
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 614/apache2
udp 0 0 192.168.0.1:53 0.0.0.0:* 520/named
udp 0 0 192.168.0.1:53 0.0.0.0:* 520/named
udp 0 0 0.0.0.0:67 0.0.0.0:* 606/dhcpd
udp 0 0 0.0.0.0:68 0.0.0.0:* 1886/dhclient
$ netstat -i
Kernel Interface table
Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
enp2s1 1500 1846797 0 0 0 1007477 0 0 0 BMRU
enp2s8 1500 1023444 0 0 0 1833742 0 0 0 BMRU
lo 65536 642 0 0 0 642 0 0 0 LRU
$ iptables -vL -t nat
Chain PREROUTING (policy ACCEPT 40475 packets, 7187K bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- enp2s1 any anywhere anywhere tcp dpt:http to:192.168.0.1
0 0 DNAT tcp -- enp2s1 any anywhere anywhere tcp dpt:https to:192.168.0.1
Chain INPUT (policy ACCEPT 10227 packets, 710K bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 9986 packets, 992K bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 9986 packets, 992K bytes)
pkts bytes target prot opt in out source destination
10076 574K MASQUERADE all -- any enp2s1 192.168.0.0/24 anywhere