Отправляет email-рассылки с помощью сервиса Sendsay

-A RH-Firewall-1-INPUT -i eth1 -p tcp -m tcp --dropt 22 -j ACCEPT

В iptables естьтакая строка:
-A RH-Firewall-1-INPUT -i eth1 -p tcp -m tcp --dropt 22 -j ACCEPT

но вот $ ssh name@host выдает:
ssh: connect to host host port 22: Connection refused

В связи с этим 2 вопросв:
1. Почему не работает,
2. Разве есть конструкция --dropt - в ман'е не нашел.

Спасибо.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 31136; Возраст листа: 1362; Участников: 1441
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/657811

Ответить   Strong Wed, 18 Apr 2007 01:10:13 +0700 (#657811)

 

Ответы:

17 апреля 2007, Strong написал:

Connection refused означает, что пакеты достигают удалённой стороны, но там
вас не ждут, так что с гейтом скорее всего всё в порядке.

Плохо искали. Это то же самое что --destination-port

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 31137; Возраст листа: 1362; Участников: 1441
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/657815

Ответить   "Serguei B. Khvatov" Tue, 17 Apr 2007 22:53:07 +0400 (#657815)

 

Serguei B. Khvatov пишет:

RH-Firewall-1-INPUT
Вообще-то в iptables такого нет.

Это название цепочки в правилах, которые устанавливает некий скрипт,
настраивающий firewall при помощи iptables .

Наверное, должно быть всё-же --dport ;-)
Если у Вас именно --dropt то копать в этом скрипте

Евгений.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 31143; Возраст листа: 1363; Участников: 1442
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/657916

Ответить   Wed, 18 Apr 2007 09:39:55 +0400 (#657916)

 

On Tue, 17 Apr 2007 22:53:07 +0400 "Serguei B. Khvatov"
<xbat***@t*****.ru> wrote:

Что это значит? Удалено системное имя?

--destination-ports обозначаются --dports, однако. :)
Так что за конструкция?

И ещё вопросец. Вот другой файл "стенки":

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i tap0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

- сгенерённый утилитой. Почему, при поднятии скажем, sshd или httpd,
nmap "говорит" что 22, 80 порты открыты, и соответственно, доступ по
ним получается? Как я понимаю, препоследняя строка запрещает всё, что
неразрешено, ну, а 22, 80 - не разрешены. Почему так?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 31147; Возраст листа: 1363; Участников: 1442
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/658093

Ответить   Strong Wed, 18 Apr 2007 04:57:08 +0700 (#658093)

 

В сообщении от 18 апреля 2007 Strong написал(a):

Это означает, что на том конце указанный порт никто не
слушает. Правда это - icmp message, которое легко может
сгенерить любой гейт по дороге, но поступать так цинично
нехорошо.

Да опечатка это! Правило совершенно понятное.

Ответить   "Sergey B. Khvatov" Thu, 19 Apr 2007 14:30:50 +0400 (#658378)

 

On Thu, 19 Apr 2007 14:30:50 +0400 "Sergey B. Khvatov"
<xbat***@t*****.ru> wrote:

Понятно.
Непонятно только то, что порт открыт, если сервис запущен, даже тогда,
когда в iptables он не открыт, зато стоит правило "всё остальное
закрыть" - как видно из конфига (мы говорим о 22ом порте, в данном
случае):

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Почему?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 31219; Возраст листа: 1367; Участников: 1440
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/659160

Ответить   Strong Sun, 22 Apr 2007 01:53:31 +0700 (#659160)

 

Strong пишет:

А нельзя ли сюда полный вывод iptables -L -n -v ?

Евгений

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 31250; Возраст листа: 1368; Участников: 1440
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/659485

Ответить   Mon, 23 Apr 2007 15:02:58 +0400 (#659485)

 

On Mon, 23 Apr 2007 15:02:58 +0400 Eugene <et@k*****.ru> wrote:

Пожалуйста,

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination 0 0 RH-Firewall-1-INPUT all -- * *
0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination 0 0 RH-Firewall-1-INPUT all -- * *
0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination

Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target prot opt in out source
destination 0 0 ACCEPT all -- lo *
0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- tap0
* 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT icmp --
* * 0.0.0.0/0 0.0.0.0/0 icmp type 255
0 0 ACCEPT esp -- * * 0.0.0.0/0
0.0.0.0/0 0 0 ACCEPT ah -- * *
0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT udp -- *
* 0.0.0.0/0 224.0.0.251 udp dpt:5353 0 0
ACCEPT udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpt:631 0 0 ACCEPT tcp -- *
* 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 0 0
ACCEPT all -- * * 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED 0 0 REJECT all
-- * * 0.0.0.0/0 0.0.0.0/0 reject-with
icmp-host-prohibited

Спасибо за желание помочь.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 31304; Возраст листа: 1369; Участников: 1440
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/659828

Ответить   Strong Tue, 24 Apr 2007 12:13:18 +0700 (#659828)

 

On Thu, 19 Apr 2007 14:30:50 +0400 "Sergey B. Khvatov"
<xbat***@t*****.ru> wrote:

Понятно.
Непонятно только то, что порт открыт, если сервис запущен, даже тогда,
когда в iptables он не открыт, зато стоит правило "всё остальное
закрыть" - как видно из конфига (мы говорим о 22ом порте, в данном
случае):

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Почему?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 31239; Возраст листа: 1367; Участников: 1439
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/659312

Ответить   Strong Sun, 22 Apr 2007 21:24:36 +0700 (#659312)

 

В сообщении от 22 апреля 2007 Strong написал(a):

Не знаю.

Посмотрите для начала что там на самом деле:
iptables -L

Ответить   "Sergey B. Khvatov" Mon, 23 Apr 2007 15:43:17 +0400 (#659494)

 

On Tue, 17 Apr 2007 22:53:07 +0400 "Serguei B. Khvatov"
<xbat***@t*****.ru> wrote:

Что это значит? Удалено системное имя?

--destination-ports обозначаются --dports, однако. :)
Так что за конструкция?

И ещё вопросец. Вот другой файл "стенки":

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i tap0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

- сгенерённый утилитой. Почему, при поднятии скажем, sshd или httpd,
nmap "говорит" что 22, 80 порты открыты, и соответственно, доступ по
ним получается? Как я понимаю, препоследняя строка запрещает всё, что
неразрешено, ну, а 22, 80 - не разрешены. Почему так?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 31149; Возраст листа: 1363; Участников: 1442
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/658095

Ответить   Strong Wed, 18 Apr 2007 05:24:52 +0700 (#658095)