Tentando abrir a porta no servidor Ubuntu 18.04 - estou faltando alguma coisa

tag-icon tag-icon networking iptables firewall
Tentando abrir a porta no servidor Ubuntu 18.04 - estou faltando alguma coisa

Estou tentando abrir a porta 30080 em um Ubuntu 18.04 Server vm e vendo alguns resultados confusos.

saída do iptables

ubuntu@k8-master:~$ sudo iptables -v -x -n -L
[sudo] senha para Ubuntu:
Chain INPUT (política ACCEPT 289 pacotes, 98798 bytes)
    pacotes bytes alvo prot opt ​​in out origem destino
    3919 272820 KUBE-SERVICES todos -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NOVO /* portais de serviço kubernetes */
    3919 272820 KUBE-EXTERNAL-SERVICES all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NOVO /* portais de serviços visíveis externamente do kubernetes */
  846424 164692436 KUBE-FIREWALL todos -- * * 0.0.0.0/0 0.0.0.0/0

Cadeia FORWARD (política DROP 0 pacotes, 0 bytes)
    pacotes bytes alvo prot opt ​​in out origem destino
       0 0 KUBE-FORWARD todos -- * * 0.0.0.0/0 0.0.0.0/0 /* regras de encaminhamento do kubernetes */
       0 0 KUBE-SERVICES todos -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NOVO /* portais de serviço kubernetes */
       0 0 DOCKER-USER todos -- * * 0.0.0.0/0 0.0.0.0/0
       0 0 DOCKER-ISOLATION-STAGE-1 todos -- * * 0.0.0.0/0 0.0.0.0/0
       0 0 ACEITAR tudo -- * docker0 0.0.0.0/0 0.0.0.0/0 ctstate RELACIONADO, ESTABELECIDO
       0 0 DOCKER tudo -- * docker0 0.0.0.0/0 0.0.0.0/0
       0 0 ACEITAR tudo -- docker0 !docker0 0.0.0.0/0 0.0.0.0/0
       0 0 ACEITAR tudo -- docker0 docker0 0.0.0.0/0 0.0.0.0/0
       0 0 ACEITAR tudo -- * * 10.244.0.0/16 0.0.0.0/0
       0 0 ACEITAR tudo -- * * 0.0.0.0/0 10.244.0.0/16

Cadeia OUTPUT (política ACCEPT 281 pacotes, 145464 bytes)
    pacotes bytes alvo prot opt ​​in out origem destino
    6870 412563 KUBE-SERVICES todos -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NOVO /* portais de serviço kubernetes */
  846213 192244364 KUBE-FIREWALL todos -- * * 0.0.0.0/0 0.0.0.0/0

Cadeia DOCKER (1 referências)
    pacotes bytes alvo prot opt ​​in out origem destino

Cadeia DOCKER-ISOLATION-STAGE-1 (1 referências)
    pacotes bytes alvo prot opt ​​in out origem destino
       0 0 DOCKER-ISOLATION-STAGE-2 todos -- docker0 !docker0 0.0.0.0/0 0.0.0.0/0
       0 0 RETORNAR tudo -- * * 0.0.0.0/0 0.0.0.0/0

Cadeia DOCKER-ISOLATION-STAGE-2 (1 referências)
    pacotes bytes alvo prot opt ​​in out origem destino
       0 0 DROP tudo -- * docker0 0.0.0.0/0 0.0.0.0/0
       0 0 RETORNAR tudo -- * * 0.0.0.0/0 0.0.0.0/0

Cadeia DOCKER-USER (1 referências)
    pacotes bytes alvo prot opt ​​in out origem destino
       0 0 RETORNAR tudo -- * * 0.0.0.0/0 0.0.0.0/0

Cadeia KUBE-EXTERNAL-SERVICES (1 referências)
    pacotes bytes alvo prot opt ​​in out origem destino
       0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 /* robot-shop/web:8080 não tem endpoints */ ADDRTYPE corresponde ao tipo dst LOCAL tcp dpt:30080 rejeitar com porta icmp-inacessível

Corrente KUBE-FIREWALL (2 referências)
    pacotes bytes alvo prot opt ​​in out origem destino
       0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 /* firewall kubernetes para descartar pacotes marcados */ mark match 0x8000/0x8000

Corrente KUBE-FORWARD (1 referências)
    pacotes bytes alvo prot opt ​​in out origem destino
       0 0 DROP tudo -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVÁLIDO
       0 0 ACEITAR tudo -- * * 0.0.0.0/0 0.0.0.0/0 /* regras de encaminhamento do kubernetes */ marcar correspondência 0x4000/0x4000
       0 0 ACEITAR tudo -- * * 10.0.0.0/16 0.0.0.0/0 /* regra de origem do pod conntrack de encaminhamento de kubernetes */ ctstate RELACIONADO,ESTABELECIDO
       0 0 ACEITAR tudo -- * * 0.0.0.0/0 10.0.0.0/16 /* regra de destino do pod conntrack de encaminhamento de kubernetes */ ctstate RELACIONADO,ESTABELECIDO

Cadeia KUBE-SERVICES (3 referências)
    pacotes bytes alvo prot opt ​​in out origem destino
       0 0 REJECT tcp -- * * 0.0.0.0/0 10.96.93.102 /* robot-shop/cart:8080 não tem endpoints */ tcp dpt:8080 rejeitar-com porta icmp-inacessível
       0 0 REJECT tcp -- * * 0.0.0.0/0 10.111.89.174 /* robot-shop/web:8080 não tem endpoints */ tcp dpt:8080 rejeitar-com porta icmp-inacessível

Além disso, ufw mostra a porta como aberta:

sudo ufw status
Status: active

To               Action      From
--               ------      ----
30080            ALLOW       Anywhere
30080/tcp        ALLOW       Anywhere

O Netstat também mostra a porta no modo "Listening":

netstat -talpn | grep 30080
tcp6    0    0 :::30080      :::*           LISTEN      -

Então não sei por que o nmap ainda mostra a porta como filtrada:

nmap -Pn localhost -p 30080 
PORT      STATE    SERVICE
30080/tcp filtered unknown

E se eu tentar em uma máquina remota, o nmap será exibido como fechado:

PORT      STATE  SERVICE
30080/tcp closed unknown

Não tenho certeza para onde ir a partir daqui.

Responder1

Depois de fazer algumas pesquisas, acho que esse é um problema do Kubernetes. Parece que o kube-proxy está adicionando esta linha:

/* robot-shop/web:8080 não tem endpoints */ ADDRTYPE corresponde ao tipo dst LOCAL tcp dpt:30080 rejeitar-com porta icmp-inacessível

Então acho que vou fechar este tópico e abrir outro na seção kubernetes. Obrigado.

informação relacionada