Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

bacha

Problem z iptables - zablokowany dostęp do ssh i ftp

Rekomendowane odpowiedzi

Witam!

Mam server zdalny VDS, do którego miałam domyślnie dostęp przez SSH i FTP. Niestety miałam ostatnio problemy z połączniem z mysql na serwerze - program, który mam na komputerze nijak nie mógł się połączyć z bazą danych.

Myślałam, że to wina iptables i próbowałam pozmieniać ustawienia dla tcp. Skończyło się to tak, że nie mam dostępu przez ssh ani ftp - połączenie zakończone przez serwer zaraz po logowaniu.

Na szczęście mam jeszcze dostęp(w tym do terminala) przez Webmin, więc chcę to naprawić, ale nie do końca wiem jak..

Próbowałam zmienić poilcy z DROP na ACCEPT, zmieniło się, ale nie odblokowało dostępu a po restarcie serwera wróciło na DROP.

Proszę o pomoc

 

Zrzut-ekranu-z-2019-01-22-18-22-51a.jpg Zrzut-ekranu-z-2019-01-22-18-22-07a.jpg

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Co to za system i w jakiej wersji? W panelu masz możliwość dodawania / edytowania reguł czy w systemie jest uruchomiony magiczny np. uwf czy może osobny, niezależny skrypt? Inaczej - co generuje reguły widoczne na zrzutach?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Co to za system i w jakiej wersji? W panelu masz możliwość dodawania / edytowania reguł czy w systemie jest uruchomiony magiczny np. uwf czy może osobny, niezależny skrypt? Inaczej - co generuje reguły widoczne na zrzutach?

 

System CentOS 7.6 a możliwość edytowania mam z terminala dostępnego przez Webmin oraz jeszcze jest jakiś Firewall pod Pleskiem, ale ten pokazuje wszystko na allow.

 

EDIT: zainstalowałam ufw i oto co mi pokazuje ufw status verbose

 

Status: active

Logging: on (low)

Default: deny (incoming), allow (outgoing), deny (routed)

New profiles: skip

 

To Action From

-- ------ ----

22/tcp (SSH) ALLOW IN Anywhere

224.0.0.251 5353/udp (mDNS) ALLOW IN Anywhere

21 ALLOW IN Anywhere

22/tcp (SSH (v6)) ALLOW IN Anywhere (v6)

ff02::fb 5353/udp (mDNS) ALLOW IN Anywhere (v6)

21 (v6) ALLOW IN Anywhere (v6)

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Pokaż wyniki poleceń z serwera - jako root:

rpm -qa firewalld

systemctl is-enabled firewalld

systemctl status firewalld

 

Jeśli pakiet jest zainstalowany, a usługa działa to zajrzyj tutaj:

https://www.certdepot.net/rhel7-get-started-firewalld/ .

 

Ręczne zabawy z iptables nie dadzą efektu.

 

Sprawdź, których usług rzeczywiście potrzebujesz, zbędne reguły usuń - tego nie pokazuj na forum:

lsof -Pi4

dla ipv6:

lsof -Pi6

 

Standardowe porty (o ile nie zostały ustawione inne) dla usług to 22 (ssh), oraz 20,21 + pasywne (o ile ustawione).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Pokaż wyniki poleceń z serwera - jako root:

rpm -qa firewalld

systemctl is-enabled firewalld

systemctl status firewalld

 

Jeśli pakiet jest zainstalowany, a usługa działa to zajrzyj tutaj:

https://www.certdepot.net/rhel7-get-started-firewalld/ .

 

Ręczne zabawy z iptables nie dadzą efektu.

 

Sprawdź, których usług rzeczywiście potrzebujesz, zbędne reguły usuń - tego nie pokazuj na forum:

lsof -Pi4

dla ipv6:

lsof -Pi6

 

Standardowe porty (o ile nie zostały ustawione inne) dla usług to 22 (ssh), oraz 20,21 + pasywne (o ile ustawione).

 

Firewalld nie działa i nawet więcej nie próbuję go uruchamiać(przynajmniej do odblokowania ssh) - wczoraj próbowałam i skończyło się to tak, że przestał działać Plesk, Webmin i strony na serwerze a jedyne co działało to ftp i ssh, przez które zrywa się połączenie. Konieczny był restart serwera, którego nie mogłam zrobić sama bez ssh, Webmina, albo Pleska ,więc musiałam czekać do rana(po 18 provider hostingu nie już nie pracuje) i zadzwonić do providera żeby to oni zrestartowali serwer.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

regułki ładowane przy restarcie siedzą w /etc/sysconfig/iptables

jeśli to nie iptables, to w tym katalogu powinien znaleźć się plik z nazwą używanego oprogramowania

 

jeśli mamy dostęp do webmina, to zmieniamy politykę (policy) w firewallu na ACCEPT, łączymy się już normalnie z ssh, i wycofujemy zmiany w firewallu (polecenie history pokaże używane wcześniej polecenia, o ile wbijemy do sesji, na której namieszaliśmy w firewallu), jak było iptables -A, to zmieniamy na iptables -D

 

i jak już poprawimy regułki, to upewniamy się, że sami mamy możliwość połączenia się (przy stałym ip), albo instalujemy knockd (dzięki któremu możemy "wypukać" dostęp do wskazanego portu)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Problem był nie w firewallu a w pliku z ustawieniami ssh - konkretnie w linijce chroot. Temat można zamknąć.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ale byś doszczegółowił w czym problem...

Ze swojej strony dodam, że jeszcze CentOS z włączonym SELinux (domyślnie) może robić problemy z ssh

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...