Как работать с портами в Linux (Открывать или закрывать нужные мне порты)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

SUSEUser
Сообщения: 11

Как работать с портами в Linux

Сообщение SUSEUser »

Добрый день! Прошу не винить за эту тему, я новичёк в Линуксе. Пользуюсь OpenSUSE 10.3

Пытался разобраться сам 3 недели подряд но никак не получается. И руководства читал и статьи, и на форумы писал
всё узнанное никак не повлияло на результат, никакие советы не помогли.

Собственно я хотел лишь только узнать какими командами можно открыть нужный мне порт (например 443 или 110)
на выбранном сетевом интерфейсе, или наоборот как закрыть требуемый порт на требуемом интерфейсе.

И потом какой командой можно увидеть порты которые я открыл?

Помогите пожалуйста у кого уже есть такой опыт.
Спасибо сказали:

Аватара пользователя
blackst0ne
Сообщения: 528
Статус:
ОС: Ubuntu 9.04

Re: Как работать с портами в Linux

Сообщение blackst0ne »

Читайте на тему netfilter (iptables) и netstat.
Администрация! Пожалуйста, добавьте птичку "решено", а также соответствующую кнопку на ajax'е в теме (подробнее здесь).
Спасибо сказали:

SUSEUser
Сообщения: 11

Re: Как работать с портами в Linux

Сообщение SUSEUser »

Я читал руководство по iptables там про порты всего пару предложений сказано.

А netstat это команда сканирования портов, но я незнаю всё ли она показывает
потому что когда я запускал её для разных интерфейсов она одно и тоже выдавала.

Если можно просто дайте команду открытия портов.
Спасибо сказали:

Аватара пользователя
blackst0ne
Сообщения: 528
Статус:
ОС: Ubuntu 9.04

Re: Как работать с портами в Linux

Сообщение blackst0ne »

iptables

Например, открыть 80-й порт

Код: Выделить всё

iptables -A INPUT -s 0/0 --dport 80 -j ACCEPT
Администрация! Пожалуйста, добавьте птичку "решено", а также соответствующую кнопку на ajax'е в теме (подробнее здесь).
Спасибо сказали:

kolebas
Сообщения: 206
Статус: Интересующийся новичок
ОС: Archlinux

Re: Как работать с портами в Linux

Сообщение kolebas »

blackst0ne писал(а):
05.03.2009 10:15
iptables

Например, открыть 80-й порт

Код: Выделить всё

iptables -A INPUT -s 0/0 --dport 80 -j ACCEPT

этого мало еще надо

Код: Выделить всё

/etc/init.d/iptables save

или как там в suse, вобщем сохранить правило
читайте про iptables!какой смысл бездумно вводить команды!
http://www.opennet.ru/docs/RUS/iptables/iptables-rus.tar.gz
проверить открытые порты:
nmap 11.22.33.44
11.22.33.44 - ваш ip
Спасибо сказали:

Аватара пользователя
Shura
Сообщения: 1537
Статус: Оказывается и без KDE есть жизнь
ОС: FreeBSD 8.0-RC2

Re: Как работать с портами в Linux

Сообщение Shura »

iptables не может открывать порты, она лишь может блокировать или не блокировать пакеты, идущие по сети.
Для открытия портов можно попробвать утилиту netcat, обыно она называется nc, поищи среди пакетов.
Rock'n'roll мертв © БГ
Спасибо сказали:

Olegator
Сообщения: 2493
ОС: SuseLinux 11.2 KDE 4.3

Re: Как работать с портами в Linux

Сообщение Olegator »

SUSEUser
в suse используется susefirewall
SUSEUser писал(а):
05.03.2009 08:20
Собственно я хотел лишь только узнать какими командами можно открыть нужный мне порт (например 443 или 110)

порты можно открыть через яст
Спасибо сказали:

SUSEUser
Сообщения: 11

Re: Как работать с портами в Linux

Сообщение SUSEUser »

Спасибо blackst0ne и kolebas но у меня почемуто так не выходит:

я ввёл команду как вы показали только вместо 80 поставил 443 порт

iptables -A INPUT -s 0/0 --dport 443 -j ACCEPT

сусе заругалось на --dport (Unknown arg `--dport')

я убрал одну черту:
iptables -A INPUT -s 0/0 -dport 443 -j ACCEPT

сусе почемуто заругалось на порт (Bad argument `443')

пробовал другой порт 110 тоже самое (Bad argument `110')
и так с любым портом. :-(

Затем я гдето нашёл такой пример:
iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

ошибок не вышло, вроде бы это то же самое только вместо всех подсетей указываю
по очереди оба сетевых интерфейса и протокол tcp
но почему не выдало ошибок ведь тут тоже --dport а не -dport

пробовал сохранить /etc/init.d/iptables: No such file or directory
искал поиском нигде нет файла iptables, только папки с библиотеками

Просканировал порты:
nmap -p1-65535 localhost
netstat -tln

ничего нового не открылось

перезагрузил сеть /etc/init.d/network restart
затем опять просканировал, ничего нового не открылось

Может посоветуете в каком направлении думать дальше?

И Вам Olegator и Shura тоже спасибо
Olegator - Через яст я пробовал, изменения в нём почемуто никак не влияют
на сетевые настройки файервола, как будто он совсем не работает.
Я открывал им абсолютно всё, но при сканировании портов открытыми оставались все те же что и в начале.

Shura я сейчас попробую netcat этого я ещё не пробовал
Спасибо сказали:

Аватара пользователя
blackst0ne
Сообщения: 528
Статус:
ОС: Ubuntu 9.04

Re: Как работать с портами в Linux

Сообщение blackst0ne »

Чтобы появилось что-то новое, нужно, чтобы 443-й порт кто-то слушал.
Может быть Вы приведете здесь свою задачу, для чего нужно открыть порт?
Администрация! Пожалуйста, добавьте птичку "решено", а также соответствующую кнопку на ajax'е в теме (подробнее здесь).
Спасибо сказали:

SUSEUser
Сообщения: 11

Re: Как работать с портами в Linux

Сообщение SUSEUser »

blackst0ne писал(а):
05.03.2009 13:36
Чтобы появилось что-то новое, нужно, чтобы 443-й порт кто-то слушал.
Может быть Вы приведете здесь свою задачу, для чего нужно открыть порт?


Хорошо сейчас я правда уже выбегаю с работы на автобус, через минут 50 сразу отпишусь как только окажусь дома
Спасибо за помощь
Спасибо сказали:

Olegator
Сообщения: 2493
ОС: SuseLinux 11.2 KDE 4.3

Re: Как работать с портами в Linux

Сообщение Olegator »

susefirewall это надстройка над iptables и если я не ошибаюсь, то он естественно перетирает настройки iptables.
SUSEUser писал(а):
05.03.2009 13:32
И Вам Olegator и Shura тоже спасибо
Olegator - Через яст я пробовал, изменения в нём почемуто никак не влияют
на сетевые настройки файервола, как будто он совсем не работает.

щас мы узнаем там ли Вы пробовали. Покажите вывод cat /etc/sysconfig/SuSEfirewall2 , ну ещё можно # SuSEfirewall2 status
Спасибо сказали:

kolebas
Сообщения: 206
Статус: Интересующийся новичок
ОС: Archlinux

Re: Как работать с портами в Linux

Сообщение kolebas »

SUSEUser писал(а):
05.03.2009 13:32
но почему не выдало ошибок ведь тут тоже --dport а не -dport

ошибка в -s 0/0 - я не знаю что это, думал blackst0ne знает что пишет
iptables -L покажет ваши правила
про /etc/init.d/iptables save - посмотрите где у вас этот файл,и надеюсь вы это от рута делаете, у меня вообще /etc/rc.d/iptables - но это дистроспецифика
предыдущие араторы правы вам можно спокойно все порты открывать графическими средствами, в яст
можно еще в файле правил прописать, если вы его найдете )))(у меня /etc/iptables/iptables.rules) прописать:
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
Спасибо сказали:

tull
Сообщения: 484

Re: Как работать с портами в Linux

Сообщение tull »

Olegator писал(а):
05.03.2009 13:10
в suse используется susefirewall
порты можно открыть через яст
еще бы знать как закрыть порты через Yast
Спасибо сказали:

Аватара пользователя
sarutobi
Сообщения: 676
Статус: Добрость и скромнота
ОС: Debian 5, FreeBSD 6.2/8.0

Re: Как работать с портами в Linux

Сообщение sarutobi »

безопасность - файервол - настройка зоны
;)
P.S. Сейчас сьюза под рукой нет, из дома смогу написать более подробно и точно
Fire and water, earth and sky - mistery surrounds us, legends never die!
Спасибо сказали:

Аватара пользователя
Shura
Сообщения: 1537
Статус: Оказывается и без KDE есть жизнь
ОС: FreeBSD 8.0-RC2

Re: Как работать с портами в Linux

Сообщение Shura »

SUSEUser
Не трогай ни яст ни iptables. Ну не открывают они порты. Это файерволы, и они могут только блокировать доступ к портам.
Rock'n'roll мертв © БГ
Спасибо сказали:

SUSEUser
Сообщения: 11

Re: Как работать с портами в Linux

Сообщение SUSEUser »

Извиняюсь не успел вовремя ответить blackst0ne насчёт задачи
как и обещал привожу задачу:

У меня на фирме 2 прокси, первый родительский он смотрит в мир
на нём две сетевые карты, доступа к нему нет никакого кроме адреса и порта прокси.

Раньше пользователи сети работали через этот прокси.

Но вот пришло распоряжение поставить дополнительно второй прокси уже под моим управлением для учёта трафика
он берёт интернет у родительского и раздаёт уже в сеть, на нём тоже 2 сетевые карты.

Так вот когда пользователи работали через родительский прокси у них был полноценный интернет

Но теперь при работе через дочерний прокси интернет остался но престали работать
программы: icq, Magent, Outlook и им подобные.

Собственно нужно заставить работать эти программы, так как в настройке самого прокси (squid)
всё вроде бы правильно, (ведь порты там открыты уже по умолчанию).
То просканировав порты я не увидел там 443 (для icq Magent) и 110 для Outlook

И поэтому я решил идти от низов то есть сначала открыть порты, а потом ещё раз проверить
настройки squid. Но если в squid я примерно разбираюсь то вот в портах и файерволе довольно слабо.
А сервер уже стоит в сети и меня всё время начальство напрягает :-) из за отсутствия аськи и почты.

А на счёт того что за программа должна слушать 443 порт я думаю это какой-нибудь https сервер должен
быть, завтра на работе ещё раз попробую его найти.

А почту должна слушать служба POP3, у меня так просто в Yast написано в настройках файервола. Эту службу
можно открывать и закрывать так же как и https, они сейчас В Yast открыты, но при сканировании портов я не вижу 443 и 110

Может быть эти службы не запускаются просто??????


Хотел вот ещё уточнить у Olegator что значит:
"susefirewall перетирает настройки iptables" он перезаписывает настройки iptables? Я правильно понял?
Вывод cat /etc/sysconfig/SuSEfirewall2 и # SuSEfirewall2 status обязательно вышлю
утром на работе, просто я к сожалению сейчас пишу из дома.


kolebas
Я вроде бы искал файл с именем iptables но нашлись только 3 папки с какимито библиотечными
файлами, на работе поищу ещё раз. Наверняка гдето я проглядел.

tull
кстати хороший вопрос
Спасибо сказали:

Mazdader
Сообщения: 155
ОС: Debian Squeeze

Re: Как работать с портами в Linux

Сообщение Mazdader »

man iptables по теме MASQUERADE или SNAT. Порты Вам нужно не открывать, а переадресовывать на вышестоящий прокси (точнее, уже не прокси, а шлюз).
Спасибо сказали:

Olegator
Сообщения: 2493
ОС: SuseLinux 11.2 KDE 4.3

Re: Как работать с портами в Linux

Сообщение Olegator »

Mazdader писал(а):
05.03.2009 17:09
man iptables по теме MASQUERADE или SNAT. Порты Вам нужно не открывать, а переадресовывать на вышестоящий прокси (точнее, уже не прокси, а шлюз).

мля у человека SUSE, читайте внимательно! если советуете ковырять iptables, то объясняйте как эти настройки прикрутить к susefirewall!
Спасибо сказали:

tull
Сообщения: 484

Re: Как работать с портами в Linux

Сообщение tull »

sarutobi писал(а):
05.03.2009 16:23
безопасность - файервол - настройка зоны
я имел ввиду порты на выход.
конкретно надо запретить выход ftp
как это сделать через Yast?
Спасибо сказали:

kolebas
Сообщения: 206
Статус: Интересующийся новичок
ОС: Archlinux

Re: Как работать с портами в Linux

Сообщение kolebas »

SUSEUser писал(а):
05.03.2009 17:05
Я вроде бы искал файл с именем iptables но нашлись только 3 папки с какимито библиотечными
файлами, на работе поищу ещё раз. Наверняка гдето я проглядел.
.

а iptables -L у вас что показывает?
про прокси есть
тут
Спасибо сказали:

Olegator
Сообщения: 2493
ОС: SuseLinux 11.2 KDE 4.3

Re: Как работать с портами в Linux

Сообщение Olegator »

tull писал(а):
05.03.2009 18:21
я имел ввиду порты на выход.
конкретно надо запретить выход ftp
как это сделать через Yast?


## Type: string
#
# 25.)
# Do you want to load customary rules from a file?
#
# This is really an expert option. NO HELP WILL BE GIVEN FOR THIS!
# READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom
#
#FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_CUSTOMRULES=""
Спасибо сказали:

Аватара пользователя
banzay
Сообщения: 88
ОС: openSUSE 12.1 (x86_64)

Re: Как работать с портами в Linux

Сообщение banzay »

Уважаемый SUSEUser, с чего Вы взяли что на вашей машине с прокси должны быть открыты порты 443 (для icq Magent) и 110 для Outlook.
На машине с proxy должен быть открыт только порт 3128 (по умолчанию)...
На сколько я знаю squid это http proxy и протоколы pop,smpt и icq через него работать не будут...
Всё это надо настраивать в обход сквида....
Если вам надо считать и трафик почты,icq и вэба то squid этого не умеет. Ищите другой софт для этих задач, например ipcad....
Жить захочешь, не так раскарячишся...
Спасибо сказали:

tull
Сообщения: 484

Re: Как работать с портами в Linux

Сообщение tull »

Olegator писал(а):
05.03.2009 22:13
FW_CUSTOMRULES=""
ок, неправильно сформулировал вопрос. как это сделать ламеру, через Yast, просто потыркав мышкой, и не правя текстовые конфиги? (я-то через iptables все настроил, мне просто интересно как чайник это может сделать)
Спасибо сказали:

kolebas
Сообщения: 206
Статус: Интересующийся новичок
ОС: Archlinux

Re: Как работать с портами в Linux

Сообщение kolebas »

banzay писал(а):
06.03.2009 05:37
Уважаемый SUSEUser, с чего Вы взяли что на вашей машине с прокси должны быть открыты порты 443 (для icq Magent) и 110 для Outlook.
На машине с proxy должен быть открыт только порт 3128 (по умолчанию)...
На сколько я знаю squid это http proxy и протоколы pop,smpt и icq через него работать не будут...
Всё это надо настраивать в обход сквида....
Если вам надо считать и трафик почты,icq и вэба то squid этого не умеет. Ищите другой софт для этих задач, например ipcad....

а это что?

Код: Выделить всё

acl SSL_ports port 443
acl Safe_ports port 80        # http
#acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
#acl Safe_ports port 70        # gopher
#acl Safe_ports port 210        # wais
#acl Safe_ports port 1025-65535    # unregistered ports
#acl Safe_ports port 280        # http-mgmt
#acl Safe_ports port 488        # gss-http
#acl Safe_ports port 591        # filemaker
#acl Safe_ports port 777        # multiling http

совсем решили человека замучать
Спасибо сказали:

Аватара пользователя
banzay
Сообщения: 88
ОС: openSUSE 12.1 (x86_64)

Re: Как работать с портами в Linux

Сообщение banzay »

kolebas писал(а):
06.03.2009 22:03
banzay писал(а):
06.03.2009 05:37
Уважаемый SUSEUser, с чего Вы взяли что на вашей машине с прокси должны быть открыты порты 443 (для icq Magent) и 110 для Outlook.
На машине с proxy должен быть открыт только порт 3128 (по умолчанию)...
На сколько я знаю squid это http proxy и протоколы pop,smpt и icq через него работать не будут...
Всё это надо настраивать в обход сквида....
Если вам надо считать и трафик почты,icq и вэба то squid этого не умеет. Ищите другой софт для этих задач, например ipcad....

а это что?

Код: Выделить всё

acl SSL_ports port 443
acl Safe_ports port 80        # http
#acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
#acl Safe_ports port 70        # gopher
#acl Safe_ports port 210        # wais
#acl Safe_ports port 1025-65535    # unregistered ports
#acl Safe_ports port 280        # http-mgmt
#acl Safe_ports port 488        # gss-http
#acl Safe_ports port 591        # filemaker
#acl Safe_ports port 777        # multiling http

совсем решили человека замучать

squid это http proxy и с почтовыми серверами он работать не умеет!!!
http://squid.opennet.ru/FAQ/faq-forum.shtml#10.1
C icq тоже не всё так просто, граблей море....
http://www.opennet.ru/base/net/squid_icq.txt.html
Не вводите людей в заблуждение.
Жить захочешь, не так раскарячишся...
Спасибо сказали:

kolebas
Сообщения: 206
Статус: Интересующийся новичок
ОС: Archlinux

Re: Как работать с портами в Linux

Сообщение kolebas »

banzay писал(а):
07.03.2009 00:53
Не вводите людей в заблуждение.

сорри, меня смутил 443 порт, ведь https через squid идет
Спасибо сказали:

Аватара пользователя
banzay
Сообщения: 88
ОС: openSUSE 12.1 (x86_64)

Re: Как работать с портами в Linux

Сообщение banzay »

kolebas писал(а):
07.03.2009 10:36
banzay писал(а):
07.03.2009 00:53
Не вводите людей в заблуждение.

сорри, меня смутил 443 порт, ведь https через squid идет

Да, https идёт, и поэтому можно настроить icq, но с почтой надо искать другие решения....

iУведомление от модератора Ленивая Бестолочь
Пожалуйста - используйте знаки препинания, иначе не совсем понятно - куда у вас https идет и причем тут icq.
Жить захочешь, не так раскарячишся...
Спасибо сказали: