PDA

Bekijk de volledige versie : отключился 80ый порт



bocman
23-03-2010, 20:02
Жил и работал 80 порт...
на нем стоит lighttpd...
Из локалки был виден и из инета тоже.
потом что-то произошло и перестал работать.

Переставил веб-сервер и из локалки заработал, а из инете нет.
в post-farewall записано:


#!/bin/sh
iptables -P INPUT DROP
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --syn --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT


iptables -A INPUT -j DROP


его не менял...
что бы это моголо значить и как с этим бороться?

netstat -nl говорит:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:515 0.0.0.0:* LISTEN
tcp 0 0 192.168.0.1:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:9100 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5431 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3838 0.0.0.0:* LISTEN
tcp 0 0 :::23 :::* LISTEN
tcp 0 0 :::443 :::* LISTEN
udp 0 0 0.0.0.0:1024 0.0.0.0:*
udp 0 0 127.0.0.1:1029 0.0.0.0:*
udp 0 0 192.168.0.1:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 192.168.0.1:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 127.0.0.1:34954 0.0.0.0:*
udp 0 0 0.0.0.0:9999 0.0.0.0:*
udp 0 0 0.0.0.0:53 0.0.0.0:*
udp 0 0 0.0.0.0:67 0.0.0.0:*
udp 0 0 0.0.0.0:1900 0.0.0.0:*
raw 0 0 0.0.0.0:1 0.0.0.0:* 0
raw 0 0 0.0.0.0:2 0.0.0.0:* 0
raw 0 0 0.0.0.0:255 0.0.0.0:* 0
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 597 /var/run/pptp/255.255.255.255:10.10.9.14
unix 2 [ ACC ] STREAM LISTENING 1254 /tmp/php-fastcgi.socket-0


что значит "0.0.0.0:80"? чем это отличается, например от ":::80" или от "127.0.0.0:80" ?
может в этом дело?

Power
23-03-2010, 22:32
Покажите, что говорит


iptables-save

bocman
24-03-2010, 13:42
iptables-save
говорит

-sh: iptables-save: not found

Power
24-03-2010, 23:09
iptables-save
говорит

-sh: iptables-save: not found


У вас что за прошивка?
Попробуйте тогда


iptables -L -nv
iptables -L -nv -t nat

bocman
25-03-2010, 08:27
iptables -L -nv говорит:


Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
753 89309 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
5098K 2067M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
13085 785K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
88785 29M ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
2105 63092 ACCEPT 2 -- * * 0.0.0.0/0 224.0.0.0/4
0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4
35536 2336K SECURITY all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state NEW
1818 698K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.1 tcp dpt:80
2 96 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 flags:0x16/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
36441 3629K DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 317K packets, 32M bytes)
pkts bytes target prot opt in out source destination
31 2707 ACCEPT tcp -- * ppp0 192.168.0.2 0.0.0.0/0 tcp spt:21
38 2127 ACCEPT tcp -- ppp0 * 0.0.0.0/0 192.168.0.2 tcp dpt:21
0 0 ACCEPT tcp -- * ppp0 192.168.0.2 0.0.0.0/0 tcp spt:80
0 0 ACCEPT tcp -- ppp0 * 0.0.0.0/0 192.168.0.2 tcp dpt:80
2954 546K ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4
86578 4904K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 TCPMSS clamp to PMTU
10M 7207M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
572K 72M SECURITY all -- !br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
516K 65M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT

Chain OUTPUT (policy ACCEPT 6777K packets, 5724M bytes)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (2 references)
pkts bytes target prot opt in out source destination
19032 979K RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
185 7400 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
526K 65M RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
89 5367 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
62201 7507K DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

bocman
25-03-2010, 08:29
iptables -L -nv -t nat говорит:

Chain PREROUTING (policy ACCEPT 484K packets, 43M bytes)
pkts bytes target prot opt in out source destination
604K 74M VSERVER all -- * * 0.0.0.0/0 <мой внешний IP>
1365 178K VSERVER all -- * * 0.0.0.0/0 10.16.81.233
10 712 NETMAP udp -- * * 0.0.0.0/0 <мой внешний IP> udp spt:6112 192.168.0.0/24
0 0 DNAT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8081 to:192.168.0.2:80
7 420 DNAT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.0.2:21

Chain POSTROUTING (policy ACCEPT 526K packets, 65M bytes)
pkts bytes target prot opt in out source destination
81 8685 NETMAP udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:6112 213.141.140.91/32
303K 31M MASQUERADE all -- * ppp0 !<мой внешний IP> 0.0.0.0/0
1275 78813 MASQUERADE all -- * vlan1 !10.16.81.233 0.0.0.0/0
1237 149K MASQUERADE all -- * br0 192.168.0.0/24 192.168.0.0/24
0 0 SNAT tcp -- * ppp0 192.168.0.2 0.0.0.0/0 tcp spt:80 to:<мой внешний IP>
0 0 SNAT tcp -- * ppp0 192.168.0.2 0.0.0.0/0 tcp spt:21 to:<мой внешний IP>

Chain OUTPUT (policy ACCEPT 14060 packets, 886K bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:59627 to:192.168.0.101:59627
380 44750 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:59627 to:192.168.0.101:59627
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:50470 to:192.168.0.2:50470
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:15556 to:192.168.0.174:15556
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15556 to:192.168.0.174:15556
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:15557 to:192.168.0.14:15556
18352 990K DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9090 to:192.168.0.2:9090
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:45991 to:192.168.0.76:45991
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:45991 to:192.168.0.76:45991
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:27292 to:192.168.0.101:27292
550K 70M DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:9089 to:192.168.0.2:9089
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:49194 to:192.168.0.189:49194
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:51188 to:192.168.0.2:51188
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1234 to:192.168.0.100:4073
418 24984 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.0.100:4073


а прошивка у меня Олега кажется 1.8.хх

bocman
25-03-2010, 08:36
post-farewall сейчас содержит:

#!/bin/sh
iptables -P INPUT DROP
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --syn --dport 443 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# port-forvarding to ADMIN web-server on NAS
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8081 -j DNAT --to-destination 192.168.0.2:80
iptables -I FORWARD -i ppp0 -p tcp -m tcp -d 192.168.0.2 --dport 80 -j ACCEPT
iptables -I FORWARD -o ppp0 -p tcp -m tcp -s 192.168.0.2 --sport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o ppp0 -s 192.168.0.2 --sport 80 -j SNAT --to-source <мой внешний IP>
# end of port-forwarding to ADMIN web-server on NAS

# port-forvarding to ftp-server on NAS
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to-destination 192.168.0.2:21
iptables -I FORWARD -i ppp0 -p tcp -m tcp -d 192.168.0.2 --dport 21 -j ACCEPT
iptables -I FORWARD -o ppp0 -p tcp -m tcp -s 192.168.0.2 --sport 21 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o ppp0 -s 192.168.0.2 --sport 21 -j SNAT --to-source <мой внешний IP>
# end of port-forwarding to ftp-server on NAS


iptables -A INPUT -j DROP

Power
25-03-2010, 13:49
Во-первых, у вас довольно старая прошивка. Но если вам это не мешает - ваше дело.
Во-вторых, у вас порт 80 проброшен на 192.168.0.100:4073


Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
...
418 24984 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.0.100:4073

Поэтому и не работает на роутере. Нужно удалить этот проброс.

bocman
25-03-2010, 16:41
ну старая прошивка мне не мешает, а обновлять ее нет времени, т.к. это потребует перестановки и перенастройки много чего...

а как удалить этот проброс?
как видите, постом выше, явро в post-farewall этого нет, в веб-интерфейсе тоже нет...
может можно где-то еще посомтреть?

Power
25-03-2010, 19:05
а как удалить этот проброс?
как видите, постом выше, явро в post-farewall этого нет, в веб-интерфейсе тоже нет...
может можно где-то еще посомтреть?

Если нет в веб-морде, то это UPnP. Проще всего его отключить. Либо сделать так (http://wl500g.info/showpost.php?p=90226&postcount=2).

И кстати, не обзывайте post-firewall.

bocman
26-03-2010, 10:29
Урра! помогло!
Power, гранд мерси!

можете посявтить меня в секрет UPnP, что он дает?
получается что он сам занимался пробросом портов? и какова логика его работы? как у меня образовался этот "левый" проброс?

Power
26-03-2010, 16:31
можете посявтить меня в секрет UPnP, что он дает?
получается что он сам занимался пробросом портов? и какова логика его работы? как у меня образовался этот "левый" проброс?

Про UPnP можно почитать, например, в википедии (en (http://en.wikipedia.org/wiki/Universal_Plug_and_Play), ru (http://ru.wikipedia.org/wiki/UPnP)). На обсуждаемых здесь роутерах он не рекомендуется к использованию, ибо глючный.

bocman
29-03-2010, 08:29
Power, еще раз большое спасибо!

bocman
01-04-2010, 21:43
Во-первых, у вас довольно старая прошивка. Но если вам это не мешает - ваше дело.


Да... сглючило меня... у меня все же не на только старая прошивка... но и не свежак - 1.9.2.7-8