Κλειστές πόρτες, ISP block ή router conflict?

[everfrost]

Hello insomniacs!

 

Προσπαθώ εδώ και μέρες να ανοίξω τις πόρτες 21, 25 και δεν λένε να ανοίξουν!

Εχω δοκιμάσει σχεδόν τα πάντα(εκτός απο ultrex) χωρίς καμία επιτυχία!

 

Για την ακρίβεια οι υπηρεσίες αυτές δουλεύουν μια χαρά σε τοπικό επίπεδο, δηλαδή μπορώ να συνδεθώ στην 21 απο τον έναν υπολογιστή του τοπικού δικτύου στον server που τρέχει ftp. Αλλά αν προσπαθήσω να συνδεθώ απο εξωτερική διεύθυνση είναι κλειστές και πέρνω ένα ωραιότατο connection refused!

 

Με ένα nmap στην τοπική διεύθυνση μπορώ να δω ότι οι 21 και 25 είναι μια χαρά ανοιχτές:

 

>
PORT	 STATE SERVICE
21/tcp open ftp <--OPEN
22/tcp open ssh
25/tcp open smtp <---OPEN
53/tcp open domain
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
143/tcp open imap
631/tcp open ipp
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
5900/tcp open vnc
5902/tcp open vnc-2
6002/tcp open X11:2
8443/tcp open https-alt
10000/tcp open snet-sensor-mgmt

 

Οταν όμως σκανάρω το domain μου(που συνδέεται μέσω no-ip στην δυναμική IP του server) οι πόρτες φαίνονται κλειστές.

 

>
Nmap scan report for xxxxx.com (77.49.198.xxx)
Host is up (0.0021s latency).
rDNS record for 77.49.198.xxx: dsldevice.lan
Not shown: 992 filtered ports
PORT	 STATE SERVICE
21/tcp closed ftp <---CLOSED
22/tcp open ssh
23/tcp open telnet
25/tcp closed smtp <---CLOSED
80/tcp open http
443/tcp open https
1723/tcp open pptp
5902/tcp open vnc-2

 

Εχω κάνει port forward κανονικότατα στις πόρτες αυτές απο το thomson tg784 που έχω.

 

 

Εχω απενεργοποιήσει το firewall του router καλού κακού και στο iptables επιτρέπω την σύνδεση( οπως είπα σε τοπικό επίπεδο συνδέομαι μια χαρά).

 

IPTABLES RULES:

 

>
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT

 

Επιπλέον έχω απενεργοποιήσει το selinux στο CentOS 6 για παν ενδεχόμενο (ξέρω κακή πρακτική αλλά μόνο για την δοκιμή που κάνω)

 

Τι μπορεί να φταίει? Υποψιάζομαι 2 πράγματα:

1. Η forthnet μπλοκάρει τις 21,25, μήπως ξέρετε αν ισχύει? Πήρα τηλ δεν μπλοκάρουν.
    
   
2. Το thomson tg 784 κάνει conflict (πολύ ασταθές router)
   

όσο για το 2, έχω δοκιμάσει reset, να θέσω public ip(dmz) στον server, firmware upgrade..αλλά τίποτα..

 

Οσοι έχετε όρεξη για σπαζοκεφαλιές here you are! Εγώ πάντως το έσπασα το κεφάλι μου και δεν έχω βρεί άκρη ακόμα, σκέφτομαι απλά να δοκιμάσω άλλο router μπας και φταίει αυτό

 

Ευχαριστώ εκ των προτέρων, αναμένω μια διαφωτιστική απάντηση/κατευθυνση!

Επεξ/σία 13 Οκτωβρίου 2012 από everfrost

[DaveMurray]

Δεν ξέρω, απλά ιδέα ρίχνω... Μήπως χρειάζεται να κάνεις strict nat, έτσι θα δουλέψει το dmz, και μετά λογικά δεν θα έχεις πρόβλημα, το μόνο που απομένει, αν δεν θέλεις να είναι όλο ο server ανοικτός, ανοίγεις μέσω του firewall του server μόνο τις πόρτες που σε ενδιαφέρουν.

 

http://www.adslgr.co...TG585-v7-router

 

είναι βέβαια για 585v7-v8, αλλά σχεδόν σίγουρα θα κάνει και για το router σου, έχουν παρόμοια firmware.

 

Δεν χάνεις και τίποτα από το να δοκιμάσεις και αυτό να δεις αν βρείς κάποια λύση.

 

(Το SELinux, να το ενεργοποιήσεις ξανά, δεν έχει σχέση με το πρόβλημα σου. Προσφέρει καλή ασφάλεια αν ρυθμιστεί καλά, με κόστος βέβαια κάποια σφάλματα στο compilation πηγαίου κώδικα κάποιες ( πολλές ; ) φορές)

[everfrost]

Hello Dave και ευχαριστώ για τον χρόνο σου!

 

Θα δοκιμάσω αυτό που προτείνεις αφού πρώτα φύγει το νέο συνεφάκι που δημιουργήθηκε με την άφηξη νέων δεδομένων στο πρόβλημα!

 

Τα νέα δεδομένα:

 

Είπα να σιγουρευτώ ότι δεν είναι κάποια ρύθμιση στο CentOS που μπλοκάρει τις πόρτες,(και ότι όντως φταίει το router) και σε άλλο μηχάνημα με windows στο ίδιο δίκτυο έβαλα το netcat να κάνει listen στην 21 και 25. Εκανα και port forward για το συγκεκριμένο μηχάνημα και η 25 άνοιξε!

Κατάλαβα αμέσω ότι κατά πάσα πιθανότητα είναι θέμα κάποιας ρύθμισης στο λειτουργικό! Ομως όταν προσπάθησα να ανοίξω και την 21 τίποτα!

 

Απο περιέργεια δοκίμασα και την 27(τυχαία) αλλά τίποτα και εκεί! Μετά άνοιξα την 30 και αυτή άνοιξε μια χαρά!

 

Δεν ξέρω τι σκαλώματα τρώει με τις 21/27 λογικά θα είναι και άλλες που δεν θα γουστάρει να ανοίξει.

 

Να σημειώσω ότι το router τρέχει ftp server για να μεταφέρεις τα αρχεία ρυθμίσεων του κτλπ. Ισως να πρέπει να το απενεργοποιήσω απο το user.ini αρχείο που έχει..(αν και απο τη στιγμή που κάνω port forward δεν θα έπρεπε να τίθεται θέμα conflict).

 

Μέχρι στιγμής λοιπόν ξέρουμε ότι το router δεν έχει πρόβλημα με την 25 (αφού σε windows τρέχει μια χαρά) και ότι την 21 δεν θέλει να την ανοίξει ούτε στον server(centos) ούτε στα windows που είναι στο ίδιο δίκτυο.

 

Σήμερα θα συνεχιστούν τα πειράματα σε server μεριά, αφού ξέρω ότι η 25 μπορεί να ανοιχτεί κανονικά θα προσπαθήσω να κλείσω τον postfix(mail server) και να βάλω το netcat στη θέση του να ακούει στην 25 για double check..

 

We'll see..

 

UPDATE

 

Φαίνεται πως η ρύθμιση στον postfix παρακάτω μπλόκαρε όλες τις συνδέσεις προς την 25 εκτός δικτύου:

 

>
#inet_interfaces = all
#inet_interfaces = $myhostname
#inet_interfaces = $myhostname, localhost
inet_interfaces = localhost

 

Επρεπε απλά να αλλάξω το localhost σε "all".

 

Port 25 problem solved!

Επεξ/σία 14 Οκτωβρίου 2012 από everfrost

[DaveMurray]

A.... για ftp, πρέπει να ανοίξεις και την 20 (ftp-data)

 

Ρίξε και μια ματιά εδώ μπας και βοηθήσει λίγο στο να κατανοήσεις κάτι για το FTP:

 

http://stackoverflow.com/questions/1699145/what-is-the-difference-between-active-and-passive-ftp

 

[ipduh]

κίνηση FTP δεν το 'χει να διασχίζει NAT ... προσπάθησε να χρησιμοποιείς ftp σε passive mode.

[everfrost]

Ευχαριστώ για τις απαντήσεις! Είναι το πρώτο πράγμα που θα δοκιμάσω σήμερα!

[everfrost]

Solved!

 

Τελικά άνοιξα την 20 και δουλεύει μια χαρά! Οσο για την 25 που δεν άνοιγε όπως είπα ο proftpd έχει μια ρύθμιση στο proftpd.conf:

 

 

#inet_interfaces = all

#inet_interfaces = $myhostname

#inet_interfaces = $myhostname, localhost

inet_interfaces = localhost

 

 

Αν το inet_interfaces είναι localhost δεν αφήνει κανέναν να μπει εκτός απο τις τοπικές διευθύνσεις.

 

Ευχαριστώ και πάλι!