הגדרת firewall ב-centos
אני ביצעתי לא מעט התקנות בשרת centos.
ה-firewall לא פתוח להכל, אלא למחשב ספציפי (שרת windows הנמצא באותה החווה).
מעת לעת, אני צריך לפתוח firewall לפורטים מסויימים.
עד כה לא היתה כלל בעיה (הפורטים היו פתוחים, והצלחתי לעשות בדיקה באמצעות ה-telnet).
מסיבה לא ברורה, לאחרונה אני לא מצליח לפתוח שום port נוסף בשרת.
הפקודה שבדר"כ אני מריץ:
הפקודות הנ"ל עוברות בהצלחה, אולם כשאני מנסה באמצעות ה-telnet בשרת ה-windows (וזה משהו רק לאחרונה), אני מקבל הודעה:
ניסיתי לבדוק מהות של firewall-cmd (שהשתמשתי בו במקום פקודה של iptables) והבנתי שמאחוריי הקלעים יש קריאה ישירות לפקודות של iptables.
פקודה:
אני מקבל את הרשימה (חלקית, זה קצת ארוך ...), אך נראה שזה הרלוונטי:
(אחרי ה-22, זה סתם נסיונות ...)
נראה שהסדר שה-iptables מציג השתבש.
הדבר היחיד (לא יודע אם קשור), שראיתי חוסר מקום ב-kernel לאחר עדכון גירסה, אז עדכנתי גירסה של kernel (תוך הסרת ישן).
ואח"כ reboot - הכל עבד כרגיל.
תודה.
אני ביצעתי לא מעט התקנות בשרת centos.
ה-firewall לא פתוח להכל, אלא למחשב ספציפי (שרת windows הנמצא באותה החווה).
מעת לעת, אני צריך לפתוח firewall לפורטים מסויימים.
עד כה לא היתה כלל בעיה (הפורטים היו פתוחים, והצלחתי לעשות בדיקה באמצעות ה-telnet).
מסיבה לא ברורה, לאחרונה אני לא מצליח לפתוח שום port נוסף בשרת.
הפקודה שבדר"כ אני מריץ:
קוד:
firewall-cmd --zone=windowszone --add-port=8000 --permanent
firewall-cmd --reloadConnecting To <MYIP>... Could not open connection to the host, on port <MYPORT>ניסיתי לבדוק מהות של firewall-cmd (שהשתמשתי בו במקום פקודה של iptables) והבנתי שמאחוריי הקלעים יש קריאה ישירות לפקודות של iptables.
פקודה:
iptables --list-rulesאני מקבל את הרשימה (חלקית, זה קצת ארוך ...), אך נראה שזה הרלוונטי:
קוד:
-A IN_windowszone -j IN_windowszone_log
-A IN_windowszone -j IN_windowszone_deny
-A IN_windowszone -j IN_windowszone_allow
-A IN_windowszone -p icmp -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 2181 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 3306 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 8005 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 9092 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 6379 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 9006 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 8001 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 81 -m conntrack --ctstate NEW -j ACCEPT
-A IN_windowszone_allow -p tcp -m tcp --dport 82 -m conntrack --ctstate NEW -j ACCEPTנראה שהסדר שה-iptables מציג השתבש.
הדבר היחיד (לא יודע אם קשור), שראיתי חוסר מקום ב-kernel לאחר עדכון גירסה, אז עדכנתי גירסה של kernel (תוך הסרת ישן).
קוד:
df -H /boot
בדקתי מקום בדיסק...
rpm -qa | grep kernel
rpm -e <list of old versions>
yum -y update kernelתודה.