ipables-Konfiguration
Versuch, eine Verbindung zu einem Server von außen zuzulassen. Portscanner melden, dass die Ports nicht geöffnet sind. Gleich nach der Bestätigung sind meine iptables richtig eingestellt.
eth0 – Privates LAN
tun0 – VPN-Schnittstelle
ppp0 – Mobile Breitbandverbindung (keine Firewall-Einschränkungen durch den ISP)
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -i ppp0 -p icmp -j ACCEPT
-A INPUT -i ppp0 -p udp -m multiport --dports 53,1194 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m multiport --dports 25,53,80,143,443,587 -j ACCEPT
Ich hoffe, dass iptables der Übeltäter ist, sonst muss ich noch viel mehr Zeit mit der Arbeit an diesem Server verbringen. Ich bin für die Hilfe dankbar.
Antwort1
Wenn das derGesamtheitIhres Firewall-Regelsatzes, dann stimme ich zu, dass Sie den Datenverkehr zu den UDP-Ports 53 und 1194 und den TCP-Ports 25, 52, 80, 143, 443 und 587 hätten öffnen sollen.
Wenn Sie mehr darüber erfahren möchten, ob das Problem bei Ihrer Firewall liegt, fügen Sie eine letzte Zeile hinzu
-A INPUT -j LOG --log-prefix "INPUT DROP: "
und achten Sie darauf, ob Protokolleinträge an der üblichen Stelle erscheinen (oft /var/log/messages, aber das hängt von Ihrer rsyslogKonfiguration ab).
Wenn Pakete immer noch nicht durchkommen, aber nichts protokolliert wird, können Sie sich sicherer sein, dass ein Problem außerhalb des Servers vorliegt. Übrigens sind Portscanner nicht die beste Methode, um festzustellen, ob Sie einen TCP-Port geöffnet haben. Versuchen Sie es beispielsweise telnet server 443von einem beliebigen Client aus. Das ist einfacher und kann daher weniger Fehler verursachen als ein Portscanner. Daher besteht weniger die Gefahr, dass Sie falsche Schlussfolgerungen ziehen.
Antwort2
Versuchen Sie, diese Zeile hinzuzufügen:
-A INPUT -i ppp0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT