iptables firewall Ubuntu przestało działać

[jambos 1]

Witam wszystkich próbowałem dodać pewną regułe aby firewall mnie nie blokował ale niestety od moich prób serwer dedykowany przestał odpowiadać ..

Puściłem takie oto reguły

iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT gdzie xx to moje ip

iptables -A INPUT -p tcp -s xx.xx.xx.xx --dport PORT -j ACCEPT i gdzie PORT to dalem port a xx to ponownie moje ip

w panelu vestacp takze dodalem moje ip dla portu 80 oraz 443 a potem juz wszystko przestalo dzialac prosilbym o kontakt tu na forum badz gg 8614498

Z góry dziękuje za pomoc

[Gość Spoofy]

1) Zrestartuj serwer (z panelu usługodawcy albo co....)

 

2) iptables -vnL - wklej tutaj

 

3) Powiedz co konkretnie chcesz osiągnąć

 

Jeżeli chcesz allowować ruch HTTP to regułka :
iptables -A INPUT -s $TWÓJ_ADRES -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT - powinna zadziałać, ale tylko pod warunkiem że nie masz żadnych dziwnych rzeczy w chainach - dlatego lepiej daj ten wycinek iptables -vnL ;-)

Edytowano Lipiec 16, 2015 przez Spoofy (zobacz historię edycji)

[jambos 1]

 

iptables -vnL
Chain INPUT (policy DROP 16098 packets, 1212K bytes)
 pkts bytes target     prot opt in     out     source               destination 
   33  5485 fail2ban-ssh  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22
    0     0 fail2ban-VESTA  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8083
    0     0 fail2ban-MAIL  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 25,465,587,2525,110,995,143,993
   33  5485 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
   33  5485 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       85.202.152.116       0.0.0.0/0            multiport dports 80,443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 21,12000:12100
  538 37201 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 25,465,587,2525
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 110,995
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 143,993
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 3306,5432
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8083
   80  6035 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0   
   10  1294 ACCEPT     all  --  *      *       91.196.48.182        0.0.0.0/0   
  102 29285 ACCEPT     all  --  *      *       127.0.0.1            0.0.0.0/0   
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:20
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:25
   16  1859 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:110
    8   608 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:123
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:143
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:3306
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:5432
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:8080
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:8433
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:8083
    5   473 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spts:12000:12100
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
 
Chain OUTPUT (policy ACCEPT 742 packets, 106K bytes)
 pkts bytes target     prot opt in     out     source               destination 
 
Chain fail2ban-MAIL (1 references)
 pkts bytes target     prot opt in     out     source               destination 
 
Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination 
   33  5485 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
 
Chain fail2ban-VESTA (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
 
Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 REJECT     all  --  *      *       89.248.171.19        0.0.0.0/0            reject-with icmp-port-unreachable
   33  5485 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
 
Chain vesta (0 references)
 pkts bytes target     prot opt in     out     source               destination 

[Gość Spoofy]

No to masz tam ładnie porobione więc powinno śmigać ;-)

Pamiętaj że jak już masz jakiś stateful firewall to używaj modułu state albo conntrack (ctstate) :
iptables -A INPUT -s $TWÓJ_ADRES -p tcp -m tcp --sport 1024:65535 --dport 80 -m state --state NEW -j ACCEPT

[jambos 1]

i wtedy juz nie bedzie tego bledu 500 tak ? zaraz sproboje dzeki

[Gość Spoofy]

YYyyyy... jakiego błędu "500"?

[jambos 1]

chodzi o to ze teraz wyskakuje mi bardzo czesto blad 500 internal server error

[Gość Spoofy]

No to raczej nie jest kwestia firewall'a ;-)