Toon posts:

Na restart geen enkele service meer bereikbaar binnen LAN

Pagina: 1
Acties:

Vraag

vrijdag 21 juni 2019 00:04

Acties:
  • 0 Henk 'm!
  • FutureCow
  • Registratie: December 2000
  • Laatst online: 07:56

FutureCow

(C) FutureCow

Topicstarter
Het hele netwerk thuis liep "vast". Geen enkel apparaat (bedraad of draadloos) kon elkaar nog zien. Na een reboot van de switch/router zelfde probleem.
Na het eruit pluggen van de netwerkkabel van de server, werkte alles weer naar behoren. Opnieuw netwerkkabel erin pluggen zorgde er voor dat direct alles weer stopte.

Toen maar besloten om een shutdown -r uit te voeren op de server. Na een restart draaien alle services op de server gewoon zoals het hoort, maar zijn vanaf de andere PC's/Laptops in het netwerk niet te benaderen. Op de server kan ik via bijv. cURL wel verbinding maken, waardoor ik kan zien dat het wel draait.

Het gaat om verschillende services op verschillende porten die niet werken zoals:
- apache (80+433)
- sabnzbd (8082)
- unifi (8443)
- tvheadnend (9981)
etc etc.
Op de server dus bereikbaar, maar daarbuiten niet.

Echter kan ik wel verbinding maken met de services die in een container op docker draaien en SSH werkt ook gewoon.
Normaal kan ik prima het een en ander debuggen, maar ik weet niet gewoon even niet waar ik moet beginnen om te kijken waardoor ik geen verbinding kan maken. Had al even naar de iptables gekeken of daat iets geks in staat:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-USER
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eno1 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 22 -j ACCEPT
-A INPUT -i eno1 -p udp -m state --state NEW,ESTABLISHED -m udp --dport 1194 -j ACCEPT
-A INPUT -i eno1 -p udp -m state --state ESTABLISHED -m udp --sport 53 -j ACCEPT
-A INPUT -i eno1 -p tcp -m state --state ESTABLISHED -m tcp --sport 80 -j ACCEPT
-A INPUT -i eno1 -p tcp -m state --state ESTABLISHED -m tcp --sport 443 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "iptables_INPUT_denied: "
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-19e7349f6a0e -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-19e7349f6a0e -j DOCKER
-A FORWARD -i br-19e7349f6a0e ! -o br-19e7349f6a0e -j ACCEPT
-A FORWARD -i br-19e7349f6a0e -o br-19e7349f6a0e -j ACCEPT
-A FORWARD -i br-1152771838ba -o br-1152771838ba -j ACCEPT
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "iptables_FORWARD_denied: "
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o eno1 -p tcp -m state --state ESTABLISHED -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eno1 -p udp -m state --state ESTABLISHED -m udp --sport 1194 -j ACCEPT
-A OUTPUT -o eno1 -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eno1 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o eno1 -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport 443 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "iptables_OUTPUT_denied: "
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 8989 -j ACCEPT
-A DOCKER -d 172.19.0.2/32 ! -i br-19e7349f6a0e -o br-19e7349f6a0e -p tcp -m tcp --dport 24224 -j ACCEPT
-A DOCKER -d 172.19.0.3/32 ! -i br-19e7349f6a0e -o br-19e7349f6a0e -p tcp -m tcp --dport 8447 -j ACCEPT
-A DOCKER -d 172.19.0.3/32 ! -i br-19e7349f6a0e -o br-19e7349f6a0e -p tcp -m tcp --dport 8446 -j ACCEPT
-A DOCKER -d 172.19.0.4/32 ! -i br-19e7349f6a0e -o br-19e7349f6a0e -p udp -m udp --dport 2055 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-19e7349f6a0e ! -o br-19e7349f6a0e -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 ! -s 172.18.0.0/16 -o br-1152771838ba -j DROP
-A DOCKER-ISOLATION-STAGE-1 ! -d 172.18.0.0/16 -i br-1152771838ba -j DROP
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-19e7349f6a0e -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN


Wie kan mij even verder helpen om te kijken waar het mis gaat?

System:
Debian 10
Intel i3 8100

Beste antwoord (via FutureCow op 21-06-2019 23:34)

vrijdag 21 juni 2019 20:44

  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 15:08

DataGhost

iPL dev

Je rules zien er sowieso een beetje apart uit, maar goed. Maar je 80 en 443 staan gewoon dicht hoor. Kijk maar:
code:
1
2

-A INPUT -i eno1 -p tcp -m state --state ESTABLISHED -m tcp --sport 80 -j ACCEPT
-A INPUT -i eno1 -p tcp -m state --state ESTABLISHED -m tcp --sport 443 -j ACCEPT

Hoe ga je die ooit in state ESTABLISHED krijgen? :+
Edit: Euh, trouwens, je hebt hier sport en niet dport staan. Ik denk dat je even met een kammetje door je rules heen moet om te kijken of wat er staat wel is wat je bedoelt. Deze twee regels zijn in deze vorm in ieder geval behoorlijk nutteloos op INPUT.

[ Voor 27% gewijzigd door DataGhost op 21-06-2019 20:45 ]

Alle reacties

vrijdag 21 juni 2019 19:10

Acties:
  • 0 Henk 'm!
  • igmar
  • Registratie: April 2000
  • Laatst online: 03-09 22:58

igmar

ISO20022

De firewall staat open op poort 22, 1194, 53, 80 en 443. De rest staat dicht.

vrijdag 21 juni 2019 20:36

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 28-09 21:59

Hero of Time

Moderator LNX

There is only one Legend

En wat zegt een 'netstat -tlnp'? Wat is het IP adres van je server en hoe proberen je andere apparaten de server te bereiken? Heb je met de curl optie localhost geprobeerd, of echt z'n IP adres of hostnaam (die ook echt herleidt naar z'n IP en niet localhost)?

Commandline FTW | Tweakt met mate

vrijdag 21 juni 2019 20:44

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 15:08

DataGhost

iPL dev

Je rules zien er sowieso een beetje apart uit, maar goed. Maar je 80 en 443 staan gewoon dicht hoor. Kijk maar:
code:
1
2

-A INPUT -i eno1 -p tcp -m state --state ESTABLISHED -m tcp --sport 80 -j ACCEPT
-A INPUT -i eno1 -p tcp -m state --state ESTABLISHED -m tcp --sport 443 -j ACCEPT

Hoe ga je die ooit in state ESTABLISHED krijgen? :+
Edit: Euh, trouwens, je hebt hier sport en niet dport staan. Ik denk dat je even met een kammetje door je rules heen moet om te kijken of wat er staat wel is wat je bedoelt. Deze twee regels zijn in deze vorm in ieder geval behoorlijk nutteloos op INPUT.

[ Voor 27% gewijzigd door DataGhost op 21-06-2019 20:45 ]

vrijdag 21 juni 2019 23:35

Acties:
  • 0 Henk 'm!
  • FutureCow
  • Registratie: December 2000
  • Laatst online: 07:56

FutureCow

(C) FutureCow

Topicstarter
Had idd met verkeerde iptables te maken, geen idee hoe die op deze manier erin gekomen zijn. Na een flush van de iptables werkt alles in ieder geval weer. Ben alleen nog wel benieuwd waar het oorspronkelijke probleem vandaan is gekomen dat hele netwerk plat lag.

vrijdag 21 juni 2019 23:51

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 15:08

DataGhost

iPL dev

Je beseft je hopelijk dat een flush alleen de iptables in de kernel leeg gooit, en dat een kernel na elke reboot met compleet lege/default tables begint? Je regels komen dus ergens vandaan on-boot, vanuit een file of door een script, anders had je dit probleem niet. Als je daar niks mee gedaan hebt (is niet helemaal duidelijk uit je post) zullen ze volgende reboot allemaal weer terug zijn.

zaterdag 22 juni 2019 00:00

Acties:
  • 0 Henk 'm!
  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

rc.iptabels / rc.firewall /rc.local oid ?

Tja vanalles

zaterdag 22 juni 2019 00:42

Acties:
  • 0 Henk 'm!
  • FutureCow
  • Registratie: December 2000
  • Laatst online: 07:56

FutureCow

(C) FutureCow

Topicstarter
Yep, staat in:
/etc/iptables/rules.v4 en v6
deze ook even aangepast...
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq