iptables - accesso al server http

[mondobimbi]

ho acquistato un server vps con installato fedora 5. Mi sono collegato via ssh ed ho avviato il server apache con #service httpd start , ma non riesco a connettermi via browser al server via ip.
Ho pensato che fosse un problema di firewall ed ho quindi impostato la regola

#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

le regole impostate sono adesso

[root@.... ~]# iptables -t filter -L -n --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

se è una informazione utile riesco a pingare

grazie a chi può darimi una mano
ciao
sergio

[fallimento]

scusa, puoi postare il "codice" di iptables???

Ci saranno delle regole iniziali???!!!

Mi sembra strano che tu riesca a pingare ma non a ricevere una risp da apache...

[mondobimbi]

mi spiace non so come fare a postarti il codice di iptables. Le due regole che ho aggiunto io sono quelle cho ho indicato.

Ho provato a fare un telnet sulla porta 80 e mi dice

[sergio@81-174-49-117 ~]$ telnet 89.163.164.12 80
Trying 89.163.164.12...
telnet: connect to address 89.163.164.12: No route to host
[sergio@81-174-49-117 ~]$

sulla 22, che come sai è la porta ssh

[sergio@81-174-49-117 ~]$ telnet 89.163.164.12 22
Trying 89.163.164.12...
Connected to 89.163.164.12.
Escape character is '^]'.
SSH-2.0-OpenSSH_4

un telnet su 80 come localhost mi funziona

[root@89-163-164-12 ~]# telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
GET / HTTP 1.0
Host: localhost

HTTP/1.1 200 OK
Date: Tue, 18 Jul 2006 03:13:35 GMT
Server: Apache/2.2.0 (Fedora)
Last-Modified: Mon, 17 Jul 2006 21:28:57 GMT
ETag: "8fb53-23-b7bfb840"
Accept-Ranges: bytes
Content-Length: 35
Connection: close
Content-Type: text/html; charset=UTF-8

<html>
<body>
ciao
</body>
</html>
Connection closed by foreign host.
[root@89-163-164-12 ~]#

purtroppo non so come venirne fuori
ciao e grazie
sergio

[fallimento]

prova a dare queste 4 righe...
se anche così non va allora il tuo problema non è iptables....

iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

dopo però ricordati che il tuo server ha tutte le porte aperte

[mondobimbi]

ho aggiunto questa regola e così funziona

#iptables -I RH-Firewall-1-INPUT 3 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT


mi vergogno un po' a dire con non capisco pianamente perchè

grazie

ciao

[fallimento]

non ho mai approfondito la mia conoscenza della conformazione dei pacchetti TCP, ma (anche se funziona) non capisco il motivo per cui prima non doveva andare...

E' questo che mi lascia perplesso...

Non vorrei sbagliarmi, ma

-I RH-Firewall-1-INPUT 3: server solo per "nominare la regola"

-p tcp -m tcp --dport 80 : ad indicare il tipo di protocollo e la porta da usare...

--tcp-flags SYN,RST,ACK SYN: restringe o specifica il tipo di pacchetti TCP da far entrare...

Qualcuno chiarisce anche a me??!!??

Perchè non andava quando si spalancava la porta 80 a tutto il mondo?!!?

[mondobimbi]

può essere stato un problema mio.
Siccome è un collegamento remoto non ho mai osato cancellare tutte le regole per paura di perdere la connessione shh, e quindi il controllo della macchina, quindi le regole le ho sempre aggiunte alle preesistenti. Adesso vorrei fare un po' di pulizia, provo a riscrivere tutto e poi lo posto
ciao
sergio

[iox84]

Originariamente inviato da fallimento
non ho mai approfondito la mia conoscenza della conformazione dei pacchetti TCP, ma (anche se funziona) non capisco il motivo per cui prima non doveva andare...

E' questo che mi lascia perplesso...

Non vorrei sbagliarmi, ma

-I RH-Firewall-1-INPUT 3: server solo per "nominare la regola"

-p tcp -m tcp --dport 80 : ad indicare il tipo di protocollo e la porta da usare...

--tcp-flags SYN,RST,ACK SYN: restringe o specifica il tipo di pacchetti TCP da far entrare...

Qualcuno chiarisce anche a me??!!??

Perchè non andava quando si spalancava la porta 80 a tutto il mondo?!!?

-l RH-Firewall-1-INPUT 3 non e' una regola, e' una catena (o sottocatena), e viene "richiamata" come prima regola della catena INPUT. Quindi le regole di RH-Firewall-1-INPUT 3 vengono ovviamente applicate sui pacchetti in ingresso.

--tcp-flags SYN,RST,ACK SYN sono i flag dei pacchetti TCP processati, indicano il tipo di connessione consentita