このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

iptablesをssh接続で有効にならない このメッセージに返信する
日時: 2010/12/19 18:02
名前: ふじ
URL:
このサイトには、大変お世話になっており、感謝しております。

初心者の初歩的な質問で申し訳ありません。

本サイトのiptables.shの設定をコピーし、使わせていただいておりますが、追加でポートを開けようと思いssh接続(su -でroot)で、設定変更し、iptables.shを実行してもポートが開きません。
しかし、ssh接続ではなく、Localにroot入り実行するとポートが開きます。

ssh接続(su -でroot)でも、設定を有効にしたいのですが、どなたかiptablesの設定方法をご教授いただけませんでしょうか?

初歩的な質問で恐縮ですが、何卒、宜しくお願い致します。
記事編集 編集
Re: iptablesをssh接続で有効にならない このメッセージに返信する
日時: 2010/12/19 23:04
名前: ペングイン
URL: http://trippyboy.com
sh -x iptables.sh

上記を行い(ssh接続とlocalからのログイン両方)
差があるかまず確認をしてみてください。

また、当サイトの設定のどこになんという記述を
足したのかお教え願います。
記事編集 編集
Re: iptablesをssh接続で有効にならない このメッセージに返信する
日時: 2010/12/25 23:18
名前: ふじ
URL:
ご連絡が遅くなり申し訳ありません。

ペングインさんのご指摘の通り、sh -x iptables.shをssh接続から行いましたが、ポートは開きません。

<結果>
        メッセージ略
           ・
           ・
+ /etc/rc.d/init.d/iptables save
ファイアウォールのルールを /etc/sysconfig/iptables に保存中[ OK ]
+ /etc/rc.d/init.d/iptables start
ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中 [ OK ]
iptables ファイアウォールルールを適用中: [ OK ]
iptables モジュールを読み込み中ip_conntrack_netbios_ns ip_c[ OK ]_ftp

※Localからは、場所が離れているため行えていません。

また、どのような設定を足したかということですが、TomcatとZopeのために
8080および7080のポートを開こうと思っております。
※8080は、以前Localでシェルを実行したら開きました。

# 外部からの8080番ポート(tomcat)へのアクセスを許可
# ※tomcatを公開する場合のみ
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p udp --dport 8080 -j ACCEPT

# 外部からの7080番ポート(Zope)へのアクセスを許可
# ※Zope/Ploneサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 7080 -j ACCEPT
iptables -A INPUT -p udp --dport 7080 -j ACCEPT
記事編集 編集
Re: iptablesをssh接続で有効にならない このメッセージに返信する
日時: 2010/12/26 08:24
名前: stranger
URL: http://ja.528p.com/
ここのサイトのiptables.shでは

最初に/etc/rc.d/init.d/iptablesをstopして
INPUT ACCEPT
OUTPUT ACCEPT
FORWARD ACCEPT
にしてから
iptablesコマンドでメモリ上に設定を構築します
その後
/etc/rc.d/init.d/iptables saveで
/etc/sysconfig/iptablesに設定を保存します
/etc/rc.d/init.d/iptables startで
/etc/sysconfig/iptablesを読み込んで
メモリ上にfilterの再設定をします

/etc/sysconfig/iptablesに設定が保存されていれば

/etc/rc.d/init.d/iptables startの実行
(既に起動している場合はrestart)でOKのはず

root権限で
# less /etc/sysconfig/iptables

-A INPUT -p tcp --dport 8080 -j ACCEPT
-A INPUT -p udp --dport 8080 -j ACCEPT

-A INPUT -p tcp --dport 7080 -j ACCEPT
-A INPUT -p udp --dport 7080 -j ACCEPT

が記録されているか確認

root権限で
# iptables -L -n -v | less

dpt 8080
dpt 7080
の設定がされているか確認

両方共OKなら少なくともINPUTの部分はACCEPTになっていると思う
記事編集 編集
Re: iptablesをssh接続で有効にならない このメッセージに返信する
日時: 2010/12/27 11:56
名前: ペングイン
URL: http://blog.trippyboy.com
可能性として、
クライアント側から出て行く時にポート制限されていたり、
サーバ側で対象ポートを受け付けるプログラムが動いていなかったり、
もしかしてiptablesの設定で弾かれていたり。

・iptablesをとめてみる。
・8080番、7080番への通信をiptablesでログしてみる。
記事編集 編集
Re: iptablesをssh接続で有効にならない このメッセージに返信する
日時: 2011/01/04 14:37
名前: ふじ
URL:
ペングインさん アドバイスありがとうございます。

>両方共OKなら少なくともINPUTの部分はACCEPTになっていると思う

両方共OKですが、ポートを開けることができません。

この問題から外れるかもしれませんが、IPLIST UPDATEのメールで、最終行に以下のメッセージが出力されますが、何か関係がありますでしょうか?
  <略>
/root/iptables.sh not executed.

※メッセージの意味からすると、iptables.shを実行できなかったみたいですが、なぜ実行できなかったのか原因がわかりません。正常にセットアップできている場合は、このメッセージは出力されないのでしょうか?

宜しくお願い致します。
記事編集 編集
Re: iptablesをssh接続で有効にならない このメッセージに返信する
日時: 2011/01/04 15:23
名前: stranger
URL: http://ja.528p.com/
ルータを間にはさんでいませんか
ルータを間にはさんでいる場合
ルータでは8080番、7080番がnat変換されているということで良いのですよね
記事編集 編集
Re: iptablesをssh接続で有効にならない このメッセージに返信する
日時: 2011/01/05 00:31
名前: ペングイン
URL: http://blog.trippyboy.com
※CRONより/root/iptables.sh not executed.という内容のメールが届いた場合の対処
なんらかの理由で、http://nami.jp/ipv4bycc/から取得した最新のIPアドレスリストと、前回取得したIPアドレスリストとの差分が100件を超えたため、iptables設定スクリプトを実行しなかったことを示す。
サーバーを長時間停止していた等、前回取得したIPアドレスリストとの差分が100件を超える理由が明確な場合には、「/etc/cron.daily/iplist_check.sh 0」と実行することにより強制的にiptables設定スクリプトを実行する。
http://centossrv.com/iptables.shtml

繰り返し >>4
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -