iptables.md

Mam taki oto wpis w pliku z regułami dla iptables

-A INPUT -p tcp -m state --state NEW --dport 30300 -j ACCEPT

iptables -L daje oczywiście odpowiedni wynik: Chain INPUT (policy ACCEPT) (bla bla bla) ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:30300

pomimo tego port 30300 jest wg nmapa zamknięty:

~ $ nmap -p30300 188.241.113.74

Starting Nmap 5.00 ( http://nmap.org ) at 2010-07-27 20:25 CEST
Interesting ports on 74.113.241.188.static.intovps.com (188.241.113.74):
PORT      STATE  SERVICE
30300/tcp closed unknown

Nmap done: 1 IP address (1 host up) scanned in 0.82 seconds

Ma to być port dla webinterfejsu monita, przeglądarka oczywiście na ten port też nie może się dostać. Pytanie, dlaczego?

Musisz jeszcze dać pakiety o stanie related dla inputu i outputu.
Ta regółka tylko wpuszcza Ci pierwszy pakiet SYN i nie pozwala na nic więcej.
NMAP musi mieć jakąś odpowiedź (SYN+ACK) żeby stwierdzić, że port jest otwarty.
iptables -A INPUT -p tcp -m state --state RELATED -j ACCEPT;iptables -A OUTPUT -p tcp -m state --state RELATED -j ACCEPT
Powinno załatwić sprawę.

W innym miejscu w pliku mam -A OUTPUT -j ACCEPT, ogólnie korzystam z tego wzoru http://www.usefuljaja.com/assets/2007/6/24/iptables.test.rules.txt

Chciałoby się powiedzieć "Ale wcześniej działało!", bo przed reinstalacją serwera wszystko było ok.

...więc dziwi mnie to, że ten port jest zamknięty, gdyż mam identyczną regułę, ale dla portu 30000 i nmap pokazuje, że jest otwarty. Może to wina innego pliku, np. konfiguracji monita?

A na pewno uruchamiasz usługę na tym porcie? Jeżeli nawet port nie jest zablokowany przez iptables a nic na nim nie słuchuje to będzie widniał jako zamknięty. Zwróć uwagę jeszcze na interfejst, którego dotyczy usługa i którego dotyczą te regółki firewalla. Nie mam pojecia co to monit, zawsze iptables cisnąłem z palca.

Reinstalacja bywa złośliwa...

Ok, działa, błąd leżał w configu monita ;) A monit już wcześniej nadawał na 30300, sprawdzałem przez lsof -i -n | grep monit