Установка, обновление, настройка Linux
Модераторы: Olej, adminn
-
Xcripz
- Интересующийся
- Сообщения: 3
- Зарегистрирован: 20 май 2013, 11:23
-
Контактная информация:
Непрочитанное сообщение
Xcripz » 20 май 2013, 14:53
Доброго времени суток. пробую поднять веб сервер. но с внешки никак не хочет пускать.
содержимое /etc/sysconfig/iptables:
Код: Выделить всё
# Firewall configuration written by system-config-firewall
# Menual cll configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
COMMIT
SElinux отключен. Почему не пускает?
centos 6.4
Xcripz
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 20 май 2013, 15:50
Xcripz писал(а):Доброго времени суток. пробую поднять веб сервер. но с внешки никак не хочет пускать.
содержимое /etc/sysconfig/iptables:
...
SElinux отключен. Почему не пускает?
centos 6.4
Для начала хорошо бы посмотреть не что в конфиге, а что реально воспринимает iptables:
Конфигурирование iptables достаточно противное занятие, где-то было очень толковое руководство по правилам iptables, если попадётся на глаза - скину ссылку.
Olej
-
Xcripz
- Интересующийся
- Сообщения: 3
- Зарегистрирован: 20 май 2013, 11:23
-
Контактная информация:
Непрочитанное сообщение
Xcripz » 20 май 2013, 19:57
Код: Выделить всё
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
ACCEPT tcp -- anywhere anywhere tcp dpt:http
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Xcripz
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 21 май 2013, 01:30
Я у себя временно включил отключенный фаервол ... и вот его настройки:
Код: Выделить всё
bash-4.2$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 state NEW udp dpt:mdns
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
ACCEPT udp -- anywhere anywhere state NEW udp dpt:ipp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ipp
ACCEPT udp -- anywhere anywhere state NEW udp dpt:ipp
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
И при этом доступ по HTTP есть.
И у вас должен быть.
Может проблема вовсе не в iptables?
Xcripz писал(а):пробую поднять веб сервер. но с внешки никак не хочет пускать.
А из localhost доступ есть?
А из LAN?
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 21 май 2013, 01:42
Xcripz писал(а):Код: Выделить всё
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
ACCEPT tcp -- anywhere anywhere tcp dpt:http
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Могу предположить, что у вас REJECT стоит перед ACCEPT для HTTP - он в приоритете и срабатывает раньше, отсылая ICMP-уведомление об ошибке.
Посмотрите вот это:
Цели правил IPTables.
Olej
-
Xcripz
- Интересующийся
- Сообщения: 3
- Зарегистрирован: 20 май 2013, 11:23
-
Контактная информация:
Непрочитанное сообщение
Xcripz » 21 май 2013, 13:13
А из localhost доступ есть?
А из LAN?
есть
Могу предположить, что у вас REJECT стоит перед ACCEPT для HTTP - он в приоритете и срабатывает раньше, отсылая ICMP-уведомление об ошибке.
Действительно! поднял правило на пару строчек выше и порт открылся. Спасибо ;)
Xcripz
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя