0 / 0 / 1
Регистрация: 30.01.2014
Сообщений: 15
1

Открыть порт для доступа извне

29.06.2018, 04:36. Показов 5425. Ответов 4
Метки нет (Все метки)

Здравствуйте. Проблема с доступом извне к порту 80.
Текущее состояние
Код
Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  localnet/24          anywhere
DROP       tcp  --  109.207.13.0/24      anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport dports smtp,pop3
ACCEPT     udp  --  anywhere             anywhere             multiport dports 25,pop3
ACCEPT     tcp  --  anywhere             anywhere             multiport dports www,2210,https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     icmp --  anywhere             anywhere             icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
Данные nmap c адреса извне
Код
53 tcp open domain ISC BIND 9.7.3
110 tcp open pop3 DBMail pop3d
443 tcp open ssl Apache httpd (SSL-only mode)
Допустим, я хочу открыть еще один порт
Код
iptables -A INPUT -p tcp --dpor 81 -j ACCEPT

Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  localnet/24          anywhere
DROP       tcp  --  109.207.13.0/24      anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             multiport dports smtp,pop3
ACCEPT     udp  --  anywhere             anywhere             multiport dports 25,pop3
ACCEPT     tcp  --  anywhere             anywhere             multiport dports www,2210,https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     icmp --  anywhere             anywhere             icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:81
вывод nmap
Код
53 tcp open domain ISC BIND 9.7.3
110 tcp open pop3 DBMail pop3d
443 tcp open ssl Apache httpd (SSL-only mode)
81 tcp closed hosts2-ns
Если же поставить политику на прием пакетов по умолчанию
Bash
1
iptables -P INPUT ACCEPT
то будем иметь следующую картину (в дополнение к обозначенному ранее)
Код
80 tcp filtered http
111 tcp open rpcbind 2 (RPC #100000)
135 tcp filtered msrpc
139 tcp filtered netbios-ssn
143 tcp open imap DBMail imapd
и т.д.

Состояние 'фильтруется' (filtered) присваивается порту в случае, если (далее цитата)
Nmap не может определить, открыт ли порт, т.к. фильтрация пакетов не позволяет достичь запросам Nmap этого порта. Фильтрация может осуществляться выделенным брадмауэром, правилами роутера или брандмауэром на целевой машине. Эти порты бесполезны для атакующих, т.к. предоставляют очень мало информации. Иногда они отвечают ICMP сообщениями об ошибке, такими как тип 3 код 13 (destination unreachable: communication administratively prohibited (цель назначения недоступна: связь запрещена администратором)), но чаще встречаются фильтры, которые отбрасывают запросы без предоставления какой-либо информации. Это заставляет Nmap совершить еще несколько запросов, чтобы убедиться, что запрос был отброшен фильтром, а не затором в сети. Это очень сильно замедляет сканирование.

Проблема в том, что на этом порту висит сайт и изнутри он работает, а вот снаружи внезапно перестал. В рамках выяснения причины было обнаружено, что порт 80 фактически закрыт, хотя согласно конфигурации iptables он вроде бы должен быть открыт.
Вопрос в том, что нужно сделать, чтобы обеспечить доступ к данному порту извне

Спасибо
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
29.06.2018, 04:36
Ответы с готовыми решениями:

Открыть порт для FTP для локальной машины
есть шлюз на линуксе к нему подключен локальный комп на линуксе. локальный комп не может по фтп ...

Открыть порт менее 1024 для обычного пользователя
Возникла проблема, требуется открыть 411 порт для DC++ хаба. Если сам хаб запустить из под рута -...

Как открыть 465 порт для подключения к SMTP серверу?
Здравствуйте. На Debian 7 стоит CSF поверх iptables. В строке SMTP_PORTS = "25,465,587" убрал...

Открыть свой IP для доступа извне
Доброго времени суток :) Такая ситуация, нужно с компьютера на хостинг залить сайт внушительных...

4
Эксперт по компьютерным сетямЭксперт NIX
12306 / 7157 / 745
Регистрация: 09.09.2009
Сообщений: 27,938
29.06.2018, 21:00 2
Цитата Сообщение от negue Посмотреть сообщение
ACCEPT tcp -- anywhere anywhere multiport dports www,2210,https
по идее, вот эта строка относится к 80-у порту
формулировка
Цитата Сообщение от negue Посмотреть сообщение
изнутри он работает, а вот снаружи внезапно перестал
...почему-то в первую очередь вызывает слово "портфорвардинг" применительно к роутеру..
и кстати, команда
Цитата Сообщение от negue Посмотреть сообщение
iptables -A INPUT -p tcp --dpor 81 -j ACCEPT
предназначена для ДОБАВЛЕНИЯ правила в конец, а вот если в ней ключ сменить на "I", она будет ВСТАВЛЯТЬ правило в начало списка
Код
iptables -I INPUT -p tcp --dpor 81 -j ACCEPT
1
0 / 0 / 1
Регистрация: 30.01.2014
Сообщений: 15
30.06.2018, 06:06  [ТС] 3
Dmitry, спасибо за ответ

по идее, вот эта строка относится к 80-у порту
да, я знаю, я просто не акцентировал на этом внимание, но суть проблемы так и обозначил: вроде по всем параметрам порт должен быть открыт, а он закрыт

почему-то в первую очередь вызывает слово "портфорвардинг" применительно к роутеру
поковыряюсь в этой степи, не могли бы вы немного пояснить, почему вы стали думать именно на "портфорвардинг"

предназначена для ДОБАВЛЕНИЯ правила в конец
это я в курсе, я специально добавил правило в конец, чтобы подчеркнуть, что никакое из правил выше не блокирует возможность открытия портов. на 100% это, конечно, не подтверждает, но добавить правило в начало, по-моему, еще более мутный эксперимент. в исходном посте я описал не все свои попытки, в частности, я вообще очищал всю очередь INPUT и ставил политику ACCEPT по умолчанию - результат тот же, состояние порта (как оно диагностируется nmap) - filtered и он недоступен извне

Добавлено через 13 минут
upd. пояснять не надо, думаю, сам допер.
0
0 / 0 / 1
Регистрация: 30.01.2014
Сообщений: 15
01.07.2018, 06:48  [ТС] 4
Удалил все правила, поставил политики accept по умолчанию для всего. Включил лог трафика, обнаружил, что пакеты по отдельным портам включая 80 до него вообще не доходят. Куда смотреть? Провайдер?
0
Эксперт по компьютерным сетямЭксперт NIX
12306 / 7157 / 745
Регистрация: 09.09.2009
Сообщений: 27,938
01.07.2018, 09:22 5
роутер или провайдер
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
01.07.2018, 09:22
Помогаю со студенческими работами здесь

Открыть порт для доступа по ip к пк
В браумере открыл порт для входящего и исходящего трафика, для доступа пк из нета... Вопрос в...

Открыть Com-порт для доступа к устройству Bluetooth
Всем привет. Есть проблема с открытием com порта, когда этим портом является bluetooth свисток....

Открыть порт на роутере для доступа из интернета к компу
Есть роутер asus rt-n56U. Windows 7. Нужно открыть доступ к порту 2656 для доступа из интернет к...

Как открыть порт для доступа через статический ip на терминальный сервер
Есть windows server 2008. Есть статический ip. Надо на этот комп зайти методом ip:порт. В роутере...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru