nixp.ru v3.0

18 октября 2017,
среда,
21:40:36 MSK

DevOps с компанией «Флант»
Аватар пользователя ckjet
ckjet написал 5 октября 2011 года в 09:16 (1026 просмотров) Ведет себя как мужчина; открыл 44 темы в форуме, оставил 134 комментария на сайте.

я подсоеденил домен к айпи адресу, при переходе на домен или айпи я все вижу, а если пользователь извне, то ни айпи ни домен не открывабтся. Как можно решить проблему?

ckjet

да, ssh нормально работает от домена у всех

ckjet

PORT     STATE  SERVICE

21/tcp   open   ftp

135/tcp  closed msrpc

139/tcp  closed netbios-ssn

445/tcp  closed microsoft-ds

554/tcp  open   rtsp

7070/tcp open   realserver

Это результат сканирования портов

fgh151

А апач сам запущен? он по дефолту на 80м порту работает, он закрыт у вас.

Как устроена сеть? т.е. если сервак стоит за роутером, то на нем еще порт надо пробросить.

Как давно в днс записи вносились? может они еще не везде появились? днс штука достаточно инертная… если домен не пингуется извне (узел недоступен) трабла в днс, если пингуется но ничего не происходит- смотрите в настройки роутера (если есть) и апача.

ckjet

исходя из первого сообщения можно понять что апач запущен. С днс все впорядке, тоже исходя из первого сообщения. Сеть — кабель без роутера.

ckjet

да, и в настройке апача на Listen-дерективу указан айпи:80

arhimedoffs

Я бы решал в таком порядке:

netstat -tnlp


даст результат того что именно слушает сервер по факту, а не по настройкам (мало ли где что переопределено)

Ну и прослушать входящий сетевой трафик на предмет входящих запросов со стороны клиентов (тоже по факту, а то допустим мой провайдер блокирует входящий порт SMTP). Я пользуюсь програмкой Wireshark (в репозиториях дистрибутива должно быть). Если запросы не доходят до сервера, то искать файрвол, а вот если доходят… По крайней мере проблема локализируется :)

Да и интересно будет узнать о ходе расследования.

ckjet

tcp        0      0 0.0.0.0:40071               0.0.0.0:*                   LISTEN      3850/skype

tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      1278/mysqld

tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      920/rpcbind

tcp        0      0 176.62.179.130:80           0.0.0.0:*                   LISTEN      29506/httpd

tcp        0      0 0.0.0.0:45686               0.0.0.0:*                   LISTEN      1008/rpc.statd

tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      997/sshd

tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      984/cupsd

tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      2522/sendmail: acce

tcp        0      0 :::111                      :::*                        LISTEN      920/rpcbind

tcp        0      0 :::37045                    :::*                        LISTEN      1008/rpc.statd

tcp        0      0 :::22                       :::*                        LISTEN      997/sshd

tcp        0      0 ::1:631                     :::*                        LISTEN      984/cupsd

tcp        0      0 :::443                      :::*                        LISTEN      29506/httpd

tcp        0      0 ::1:45218                   :::*                        LISTEN      2853/java

defender

по всей видимости таки фаервол. iptables -vnL в студию.

ckjet

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target     prot opt in     out     source               destination

1310K 1013M ACCEPT     all  —  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

128  7780 ACCEPT     icmp —  *      *       0.0.0.0/0            0.0.0.0/0

466 22952 ACCEPT     all  —  lo     *       0.0.0.0/0            0.0.0.0/0

11947  621K ACCEPT     tcp  —  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22

139K 6517K REJECT     all  —  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target     prot opt in     out     source               destination

0     0 REJECT     all  —  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

 

Chain OUTPUT (policy ACCEPT 1239K packets, 248M bytes)

pkts bytes target     prot opt in     out     source               destination

defender

Дык снаружи все закрыто фаером окромя 22 порта.

iptables -I INPUT 4 -p tcp --dport 80 -m state --state NEW -j ACCEPT

Где в федоре прописываются правила iptables — не скажу. всегда отродясь делал это собственным скриптом.

ckjet

огромное человеческое спасибо, и вправду помогло )

ckjet

SELinux отключен(использую fedora 15)

ckjet

а как сохранить это чтоб не вводить при каждой перезагрузке?

Дмитрий Шурупов
# iptables ... (задаем нужные правила)
# iptables ... (задаем нужные правила)
# service iptables save 


?

ckjet

а в debian?

Дмитрий Шурупов

wiki.debian.org/iptables -> «Storing iptables rules in a file»