2 votos

¿Qué puede bloquear silenciosamente el acceso a un puerto en el servidor Ubuntu 10.04?

Tengo un servicio propietario que se ejecuta en el puerto 8090 (en realidad se ejecuta en una VM VBoxHeadless y captura este puerto desde la máquina anfitriona) en un servidor de Internet.

Nmap muestra el puerto 8090 abierto tanto en el host como en la VM. El servicio parece iniciarse (y detenerse si se le pide) correctamente. Telnet es capaz de conectarse al puerto desde el lado del cliente remoto (pero no hay datos mostrados en telnet, así que no puedo estar seguro de si está funcionando o no). Otros servicios (como Postfix y Dovecot) también funcionan en una máquina virtual (aunque Debian Lenny, mientras que el host y el huésped que me interesa ejecutan Ubuntu Lucid) funcionan bien, los recursos compartidos de Samba en la misma VM funcionan bien.

Pero un cliente (Windows, conectado al host a través de OpenVPN (que está funcionando - Samba funciona bien sobre él) a través de Internet) dice que no puede acceder a ese servicio allí, en el puerto 8090.

¿Qué puede bloquearlo? ¿Puede ser alguna cosa de app-armour/selinux/hosts.allow o así? El servicio fue instalado 100% manualmente (siguiendo el manual), no hay scripts allí).

ACTUALIZACIÓN Para ser más específicos. Acabo de configurar todo yo mismo con la mayoría de las configuraciones por defecto y sin enrutamiento / firewalling especial. Las configuraciones del cliente y del servidor de OpenVPN son las de los documentos de OpenVPN (y ya funcionaban antes, cuando no usaba VMs), las reglas de iptables (tanto en el host como en la VM) están ahora configuradas para aceptar todo y no hacen nada especial, sólo planeo asegurarlas después de que consiga que el sistema funcione del todo. hosts.allow/deny parecen estar vacías (todo está #-ed, como sale de la caja).

Como he especificado anteriormente, el túnel de OpenVPN parece funcionar bien, ya que los pings van allí sin problemas y el acceso a Samba a través del puerto 445 funciona bien (mientras que no funciona a través de Internet si no se utiliza OpenVPN). No hay reglas especiales de acceso/enrutamiento establecidas allí en la configuración de OpenVPN, ni tampoco en iptables. El esquema de enrutamiento es simple - un cliente solicita el host del servidor (al que se puede acceder a través de OpenVPN que se ejecuta, o directamente a través de Internet), entonces las reglas natpf de VirtualBox capturan puertos específicos y los llevan a las VMs (hay 2 VMs y no hay conflictos allí, una ejecuta un servidor de correo, otra ejecuta Samba+FireBird+AbraAppServer (el último es el servicio problemático real)).

Tengo cero conocimientos sobre app-armour/selinux o lo que sea que haya en Ubuntu Lucid - ¿puede ser eso? Ten en cuenta que si está ahí, está configurado por defecto, como está fuera de la caja en Ubuntu 10.04 Server.

1voto

iptables -L y revise sus cadenas allí, podría haber una regla de bloqueo extraña para ciertos paquetes en el puerto 8090. hosts.allow es otro para comprobar.

Una cosa que hay que comprobar con la VPN es la configuración de tu router. ¿Se reconoce la subred de la VPN? ¿Hay algún tipo de reglas explícitas de permitir/denegar en el router? Si es así, ¿qué permiten/deniegan, y está la subred VPN incluida en alguna de ellas? ¿Tiene configurado el reenvío de puertos/passthrough en el router para el puerto 8090?

Lo que podrías hacer, ya que estás haciendo la VPN directamente al ordenador y no al router, es si puedes configurar una regla para reenviar el tráfico del puerto X al puerto 8090 SI (y sólo si) los datos provienen de tu subred/dirección VPN, e intentar acceder al puerto X desde la VPN. Si eso funciona entonces sabes que tienes un problema en el ordenador local al permitir el tráfico al puerto 8090, si no lo hace entonces puedes echar un vistazo más de cerca a la configuración de tu router ya que parece que el NAT/firewall de OpenVPN puede no estar funcionando en tu red.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: