Debian-server onbereikbaar van buitenaf.

Pagina: 1
Acties:

  • SanderH_
  • Registratie: Juni 2010
  • Laatst online: 21-02 23:44
Het voorbije jaar heb ik al vele uren plezier beleefd aan mijn debian server die ik oa gebruik als webserver, downloadserver, mdadm RAID etc.

Zonder echt zaken te hebben gewijzigd in de configuratie van mijn server zit ik nu toch met een vervelend probleem.

Mijn server is plots niet meer bereikbaar van buitenaf. Vanop het lokaal netwerk kan ik alles doen wat ik wil. Zodra ik op een publiek netwerk kom is de server echter vanop geen enkele poort meer bereikbaar (niet via SSH, laat staan op poort 80).

Ik maak gebruik van dyndns om mijn site te hosten. Via ddclient wordt mijn dynamisch ip bijgehouden en aangepast zodra mijn IP wijzigt. Aan mijn firewall regels is niets veranderd. Ook indien ik puur testgewijs alle sluizen opengooi kom ik er niet door. Wanneer ik DNS uitsluit door via mijn publiek IP ipv de hostname te verbinden wordt de server ook niet gevonden. Talloze portscan's en nmap's leverden ook niets verdachts op. Uiteraard staat NAT op mijn router ingesteld, dit heeft dan ook bijna een jaar zonder enige problemen gewerkt.

Ik maak overigens gebruik van Debian squeeze 6.0.1.

Verwijderd

Als je alles hebt geprobeerd dan blijft er niets meer over hè?

Voer eens wat commando's uit om te laten zien dat er iets luistert op TCP poorten 22 en 80.
Laat ook zien dat iptables de boel niet kan blokkeren.

Begin niet vanuit de gedachte dat jij niks hebt veranderd en er dus niets mis kan gaan. Begin gewoon bij de basis. Wat luistert er en wat kan dat potentieel blokkeren? Vanaf welke plekken kun je er nog wel bij?

  • devino
  • Registratie: December 2005
  • Laatst online: 13:25

devino

Hoogspanning of Hoge spanning?

Tja, stap voor stap zou ik idd gaan testen, wat als je de server direct aan je modem hangt, zonder router er tussen of is je debian de router? in dat geval moet het iets in je iptables zijn. Ik had altijd een config script van mijn iptables dat als het niet lekker werkte ik die gewoon leeg kon gooien en het script runnen zodat alles weer correct was ingesteld.

De hierboven gemaakte typ- en/of spelfouten zijn mijn handelsmerk


  • SanderH_
  • Registratie: Juni 2010
  • Laatst online: 21-02 23:44
Verwijderd schreef op maandag 05 maart 2012 @ 19:51:
Als je alles hebt geprobeerd dan blijft er niets meer over hè?

Voer eens wat commando's uit om te laten zien dat er iets luistert op TCP poorten 22 en 80.
Laat ook zien dat iptables de boel niet kan blokkeren.

Begin niet vanuit de gedachte dat jij niks hebt veranderd en er dus niets mis kan gaan. Begin gewoon bij de basis. Wat luistert er en wat kan dat potentieel blokkeren? Vanaf welke plekken kun je er nog wel bij?
Poort 22 en 80:
root@oxygen:~# lsof -i :22
COMMAND   PID   USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
sshd     2269   root    3u  IPv4    6455      0t0  TCP *:ssh (LISTEN)
sshd     2269   root    4u  IPv6    6457      0t0  TCP *:ssh (LISTEN)
sshd    10384   root    3r  IPv4 1608685      0t0  TCP 192.168.1.10:ssh->192.168.1.5:51098 (ESTABLISHED)
sshd    10389 sander    3u  IPv4 1608685      0t0  TCP 192.168.1.10:ssh->192.168.1.5:51098 (ESTABLISHED)
sshd    13455   root    3r  IPv4 1616597      0t0  TCP 192.168.1.10:ssh->122.227.226.14:43279 (ESTABLISHED)
sshd    13456   sshd    3u  IPv4 1616597      0t0  TCP 192.168.1.10:ssh->122.227.226.14:43279 (ESTABLISHED)

root@oxygen:~# lsof -i :80
COMMAND    PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
ddclient  1680 root    4u  IPv4  866180      0t0  TCP 192.168.1.10:53501->checkip-ams.dyndns.com:www (ESTABLISHED)
apache2  11269 root    4u  IPv6 1610631      0t0  TCP *:www (LISTEN)
apache2  11277 root    4u  IPv6 1610631      0t0  TCP *:www (LISTEN)
apache2  11278 root    4u  IPv6 1610631      0t0  TCP *:www (LISTEN)
apache2  11279 root    4u  IPv6 1610631      0t0  TCP *:www (LISTEN)
apache2  11280 root    4u  IPv6 1610631      0t0  TCP *:www (LISTEN)
apache2  11281 root    4u  IPv6 1610631      0t0  TCP *:www (LISTEN)



Iptables zien er als volgt uit:
*filter

-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -p tcp --dport 9 -j ACCEPT
-A INPUT -p udp --dport 9 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 135 -j ACCEPT
-A INPUT -p udp --dport 137 -j ACCEPT
-A INPUT -p udp --dport 138 -j ACCEPT
-A INPUT -p tcp --dport 139 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp --dport 445 -j ACCEPT
-A INPUT -p tcp --dport 5001 -j ACCEPT
-A INPUT -p tcp --dport 5900 -j ACCEPT
-A INPUT -p tcp --dport 5901 -j ACCEPT
-A INPUT -p tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp --dport 8081 -j ACCEPT
-A INPUT -p udp --dport 8081 -j ACCEPT
-A INPUT -p tcp --dport 8082 -j ACCEPT
-A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-l$
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT