We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Algun firewall aparte de IPTables?


jm.trillo
17/07/2013, 14:22
Cita Publicado inicialmente por lemonhead
De nuevo... mira mi salida de IP tables, hasta donde comprendo se deberia poder acceder al puerto 8888 sin problemas.

Código:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8888

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Por favor oceano asegurate de leer bien los posts antes de contestar. Y si no entiendes algo pregunta, pero no pongas cosas que no vienen a cuento. Y no me mandes a google, por favor. Si ves que no puedes ayudar, por favor no te metas en medio!

Venga, a ver si podemos arreglarlo.
Tus iptables parecen correctas ( de hecho como tienes como policy accept podrias borrar la regla para el puerto 8888 y seguiría funcionando).

A ver, cosas que se me ocurren:

Estas seguro de que el problema es de conexión no? que tipo de error te devuelve al conectar desde la oficina? Podrías probar a conectarte en modo debug ( en linux es ssh -v -v -v usuario@dirección) para que te diga en que punto esta fallando. Tambien se puede utilizar el comando telnet IP 8888, y ver si obtienes alguna respuesta o simplemente no conecta en absoluto ( compara el resultado con el de intentar conectar a algun puerto en el que no haya servicio, telnet IP 8889 por ejemplo). Es posible que tengas algun error raro de auntenticación. Si falla la conexion en absoluto, chungo.


-yyy, volviendo a leer lo que has ido poniendo, la verdad es que estoy sin ideas, sobre todo porque el que funcione desde localhost elimina muchas cosas :-/. Has probado a cambiar el puerto de la aplicación? O mejor, se me ocurre: Apaga tu servicio, y configura el servicio ssh para que escuche en el puerto 22 y el 8888, si el ssh normal si funciona sabrás al menos que la conexión al puerto en si funciona.


EDIT: Acabo de caer en algo. El puerto 8888 se utiliza para administración de algunos tipos de hosts para VPS, es posible que OVH lo utilice para algo y te lo este cortando.

lemonhead
17/07/2013, 13:28
De nuevo... mira mi salida de IP tables, hasta donde comprendo se deberia poder acceder al puerto 8888 sin problemas.

Código:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8888

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Por favor oceano asegurate de leer bien los posts antes de contestar. Y si no entiendes algo pregunta, pero no pongas cosas que no vienen a cuento. Y no me mandes a google, por favor. Si ves que no puedes ayudar, por favor no te metas en medio!

Venga, a ver si podemos arreglarlo.

oceano
17/07/2013, 13:13
Hola Lemonhead,

Pero a ver !! Hombre de Diosss !!!!

" El ssh de shell de comandos del VPS esta en el puerto 22 de toda la vida, no he tocado nada. Ya cambiare puertos y passwords y limitare accesos por IP cuando tenga todo funcionando. "

Tú lo que pretendes es abrir el puerto 8888 con una regla iptables ?

https://www.google.com ( securizado )


Nota: Yo no tomo el pelo a nadie.

Un saludo !

lemonhead
17/07/2013, 13:08
Jaja, no me tomes el pelo hombre! De nuevo: mi programa no conecta al puerto 22. Mi programa es un servicio que escucha el puerto 8888. Mi problema es que no puedo acceder al puerto 8888 de mi VPS (lo que hay detras de el, es irrelevante, y no es necesario saber que hace el servicio para eso. De hecho es informacion inutil, que sobra).

En serio, deja esto para alguien que me pueda ayudar porfa.

Gracias!

oceano
17/07/2013, 13:02
Hola Lemonhead,

Ya que tú no quieres prestar demasiado interés al tema de la securización de tu VPS, te informaré que el puerto ssh 22 es el más comúnmente analizado para acceder dentro y robarte los datos, tanto tuyos como de tus clientes.

Si utilizas ese puerto también para otros servicios, lo estás poniendo aún más fácil.

1.- Recomendación de seguridad. Cambia el puerto ssh 22 por otro.
2.- Bloquea el usuario Root, crea otro y accesa con él para luego con # sudo obtener priviliegios de superadmin

Al margen de esto, y puedes hacer lo que quieras, a mi sigue sin funcionarme la bola de cristal de tu programa hecho en Pyhton que conecta al puerto 22 ssh.

Me da que a otros tampoco le va a funcionar. Si sólo dices " utilizo un programa " y nadie sabe ni como funciona, ni que hace... Tú sabrías ser objetivo ?

Deseo haber sido más claro ahora, espero alguien pueda ayudarte.


Un saludo !

lemonhead
17/07/2013, 12:53
No te preocupes, simplemente no has entendido lo que escribi arriba. Te comento:

El protocolo ssh se puede utilizar para mas cosas que para entrar a un shell de consola. Mi programa es un servicio que utiliza ssh para interactuar con el usuario (aunque nada tiene que ver con la shell). A mi programa puedes conectarte con Putty, por ejemplo. Por eso, mi programa escucha el puerto 8888 y es algo totalmente distinto al shell ssh de linux.

El ssh de shell de comandos del VPS esta en el puerto 22 de toda la vida, no he tocado nada. Ya cambiare puertos y passwords y limitare accesos por IP cuando tenga todo funcionando.

Entiendo que te preocupes por la seguridad, pero debes comprender que cada caso es distinto, y mi problema no es ese. No tendre problemas para blindar mi VPS en su momento. Pido ayuda para el problema que tengo: aparentemente todo esta listo para acceder al puerto 8888 de mi VPS, pero algo falla.

Por favor dejemos temas secundarios, que si no el post se alarga y se hace dificil para los usuarios que me puedan ayudar.

Gracias de nuevo y un saludo!

oceano
17/07/2013, 12:43
Hola Lemonhead,

3) Desde mi oficina no puedo acceder a mi servicio en el puerto 8888: ssh (mi ip OVH) -p 8888
- Tienes una ip estática ? Porque quizá, debería ser lo primero que te preguntaras...

* Con esto me refería a una medida de seguridad, para que tú y sólo tú, mediante una regla IpTables, puedas acceder a tu servidor, pero después de ver, que utilizas un programa hecho por ti en Python para conectar al puerto 22 y decir, " 2) Las recomendaciones de seguridad a parte, ese no es mi trabajo y vendran luego. "

Pues está todo aclarado... Bajo mi punto de vista estás empezando la casa por el tejado, pero es cuestión de gustos, claro está.

Y digo yo, no sería más cómodo conectar directamente al ssh xy por el putty, por ejemplo ? Están securizadas tus conexiones con ese programita ? Bueno, deseo todo vaya bien.


Un saludo y disculpa por no saber explicarme mejor.

lemonhead
17/07/2013, 12:35
Lo siento, oceano, encuentro tus mensajes muy confusos.

1) El programa lo he hecho yo, y nada tiene que ver lo que hace internamente para poder conectar al puerto. Ese programa escucha el puerto 8888 y se comunica con el protocolo ssh. Como si solamente hace echo, no conecta al puerto.

2) Las recomendaciones de seguridad a parte, ese no es mi trabajo y vendran luego. Lo que me interesa saber es por que no puedo acceder al puerto 8888 de mi VPS.

3) Si en mi oficina tengo IP estatica o no es irrelevante para entrar al VPS. Se deberia poder acceder desde cualquier IP.

5) Gracias por la recomendacion. Pero independientemente del programa, la salida que he puesto antes de IP tables parece correcta, no?

Buscare el hilo! Gracias!

oceano
17/07/2013, 12:17
Hola Lemonhead,

1) Estoy ejecutando un programa personalizado que escucha el puerto 8888 en mi VPS (hecho en python, funciona bien en otros entornos)
- Deberías buscar un buen manual sobre ese programa, a mi por lo menos la bola de cristal ha dejado de funcionarme...

2) Desde mi oficina puedo acceder a otros puertos de mi VPS como webmin, ssh, ftp, etc.
- Es evidente, si no has cambiado ningún puerto, cuestión que deberías sobre todo el ssh, es normal que te deje. Y volviendo a una punto anterior.
" He configurado IP Tables (ahora mismo esta básicamente todo abierto), y no puedo conectarme desde fuera. " :confused:

3) Desde mi oficina no puedo acceder a mi servicio en el puerto 8888: ssh (mi ip OVH) -p 8888
- Tienes una ip estática ? Porque quizá, debería ser lo primero que te preguntaras...

4) Me conecto al ssh de mi VPS por el puerto 22
- Te recomiendo que hagas esto, antes de nada... # passwd ( cambias la contraseña de root ) y luego, te creas un usuario y deshabilitas root y entras con ese usuario al server.

5) He revisado IP tables
Si instales Csf-Lfd, es una aplicación que te ayudará a controlar Ip-Tables y mucho más...


Nota: Hay un hilo abierto con profesionales que te pueden ayudar, configurar y asesorar sobre la administración de tu VPS. Quizá adelantes en tiempo, salud y dinero. ( Yo no estoy )


Un saludo !

lemonhead
17/07/2013, 10:38
OK, intentare explicarme mejor:

1) Estoy ejecutando un programa personalizado que escucha el puerto 8888 en mi VPS (hecho en python, funciona bien en otros entornos)

2) Desde mi oficina puedo acceder a otros puertos de mi VPS como webmin, ssh, ftp, etc.

3) Desde mi oficina no puedo acceder a mi servicio en el puerto 8888: ssh (mi ip OVH) -p 8888

4) Sin embargo, si hago lo siguiente, si puedo acceder al servicio:

- Me conecto al ssh de mi VPS por el puerto 22
- Una vez dentro del shell de mi VPS ejecuto el comando: ssh localhost -p 8888
- Mi programa responde y funciona (se comunica a traves de ssh)

De esto deduzco que hay algo entre mi VPS y mi oficina que me corta el intento de conexion.

5) He revisado IP tables y yo entiendo que tengo todo lo mas abierto posible, aqui la salida:

Código:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8888

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Por eso preguntaba si hay algun otro tipo de firewall instalado, o si teneis idea de por que no puedo acceder a mi servicio.

Gracias!

jm.trillo
17/07/2013, 10:27
Cita Publicado inicialmente por lemonhead
Hola, acabo de adquirir un VPS con Ubuntu 12.04, y he levantado un servicio en el puerto 8888. He configurado IP Tables (ahora mismo esta basicamente todo abierto), y no puedo conectarme desde fuera. Sin embargo si que puedo conectarme al puerto 8888 a traves de ssh desde el propio servidor, apuntando a localhost; es decir el servicio esta corriendo. Otros servicios (webmin, ssh, apache) funcionan sin problemas.

Hay algo que se me escapa? Alguna cosa más que tendria que configurar?

Gracias de antemano y un saludo!
Es dificil de decir con tan poca info, pero como lo cuentas lo que veo mas probable es que tus iptables estan mal. Seguro que no has cambiado la policy a deny? Pega aqui el resultado de iptables -L

oceano
17/07/2013, 10:10
Hola, buenos días.

Antes de nada debo decirte que lo he tenido que leer 3 veces, y aún sigo sin enterarme muy bien lo que intentas explicar...

" he levantado un servicio en el puerto 8888 "
- Te refieres a qué has cambiado el puerto de acceso al server del 22 ssh, por defecto al 8888 ?

" He configurado IP Tables (ahora mismo esta básicamente todo abierto), y no puedo conectarme desde fuera. "
- Si está todo abierto, ¿Realmente no puedes conectar?

" Sin embargo si que puedo conectarme al puerto 8888 a traves de ssh desde el propio servidor, apuntando a localhost; es decir el servicio esta corriendo. "
- Es decir, local | server ??

Otros servicios (webmin, ssh (8888 ??), apache) funcionan sin problemas.

"Hay algo que se me escapa?"
- Tranquilo, aquí nadie es DIOS.

"Alguna cosa más que tendria que configurar?"
- Seguramente muchas, pero depende de lo que quieras...

Y a tu pregunta, la primera... o mejor dicho, en conjunto
"Re: Algun firewall aparte de IPTables? "

¿Dónde intentas llegar? ¿Qué quieres hacer?


Un saludo !

lemonhead
17/07/2013, 09:13
Hola, acabo de adquirir un VPS con Ubuntu 12.04, y he levantado un servicio en el puerto 8888. He configurado IP Tables (ahora mismo esta basicamente todo abierto), y no puedo conectarme desde fuera. Sin embargo si que puedo conectarme al puerto 8888 a traves de ssh desde el propio servidor, apuntando a localhost; es decir el servicio esta corriendo. Otros servicios (webmin, ssh, apache) funcionan sin problemas.

Hay algo que se me escapa? Alguna cosa más que tendria que configurar?

Gracias de antemano y un saludo!