Я просто применил набор рекомендуемых обновлений этим утром (который, кажется, обновил ядро до 3.8.0-32.47), и внезапно я не могу соединиться с машиной на порте 80 (http) или 22 (ssh). Ping все еще работает. Кроме того, мой системный журнал и kern.log заполняются сообщениями как
Oct 22 10:43:27 mu kernel: [ 4041.036862] Inbound IN=eth0 OUT= MAC=6c:62:6d:c8:b0:d3:18:03:73:34:81:b8:08:00 SRC=192.168.212.43 DST=192.168.212.56 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=17389 DF PROTO=TCP SPT=59502 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Я могу соединиться с веб-сервером локально, таким образом, это пахнет как проблема брандмауэра мне. Я попробовал:
и это не работает. Таким образом, я пошел и посмотрел на "sudo iptables-L", и я получаю это, но я не понимаю вывода (я скрыл домен своего работодателя с "example.com"),
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- ad1.example.com anywhere tcpflags:! FIN,SYN,RST,ACK/SYN
ACCEPT udp -- ad1.example.com anywhere
ACCEPT tcp -- ad2.example.com anywhere tcpflags:! FIN,SYN,RST,ACK/SYN
ACCEPT udp -- ad2.example.com anywhere
ACCEPT tcp -- ad3.example.com anywhere tcpflags:! FIN,SYN,RST,ACK/SYN
ACCEPT udp -- ad3.example.com anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere 192.168.212.255
DROP all -- base-address.mcast.net/8 anywhere
DROP all -- anywhere base-address.mcast.net/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
LSI all -f anywhere anywhere limit: avg 10/min burst 5
INBOUND all -- anywhere anywhere
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix "Unknown Input"
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:http
Какая-либо идея, что я сделал неправильно? Или как зафиксировать его? (Я думаю, что собираюсь узнать много о iptables.)
ОБНОВЛЕНИЕ
Неудивительно, другие сервисы на машину (MySQL) не отвечают также. nmap говорит мне, что порты открыты, tho
chris@mu:/var/log$ nmap 192.168.212.56
Starting Nmap 6.00 ( http://nmap.org ) at 2013-10-22 10:55 EDT
Nmap scan report for sentry (192.168.212.56)
Host is up (0.00030s latency).
Not shown: 993 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3306/tcp open mysql
5666/tcp open nrpe
Я наконец-то нашел команду sudo iptables -F
, которую можно использовать для удаления всех правил брандмауэра (это машина разработчика, поэтому мне все равно), и использовал ее. Теперь все доступно.