Почему порты открыты, но при проверке получаю refused?

Question

[Простой Человек]

Вывод iptables -L -n -v -x

Вывод ufw status verbose

root@debian ~ # ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
2022                       ALLOW IN    Anywhere
8443                       ALLOW IN    Anywhere
443                        ALLOW IN    Anywhere
2053                       ALLOW IN    Anywhere
1980/tcp                   ALLOW IN    Anywhere
8080/tcp                   ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
21                         ALLOW IN    Anywhere
20                         ALLOW IN    Anywhere
60000:65535/tcp            ALLOW IN    Anywhere
22000:22155/udp            ALLOW IN    Anywhere
22000:22155/tcp            ALLOW IN    Anywhere
27000:27155/udp            ALLOW IN    Anywhere
27000:27155/tcp            ALLOW IN    Anywhere
5000:5100/tcp              ALLOW IN    Anywhere
5000:5100/udp              ALLOW IN    Anywhere
2022 (v6)                  ALLOW IN    Anywhere (v6)
8443 (v6)                  ALLOW IN    Anywhere (v6)
443 (v6)                   ALLOW IN    Anywhere (v6)
2053 (v6)                  ALLOW IN    Anywhere (v6)
1980/tcp (v6)              ALLOW IN    Anywhere (v6)
8080/tcp (v6)              ALLOW IN    Anywhere (v6)
80/tcp (v6)                ALLOW IN    Anywhere (v6)
21 (v6)                    ALLOW IN    Anywhere (v6)
20 (v6)                    ALLOW IN    Anywhere (v6)
60000:65535/tcp (v6)       ALLOW IN    Anywhere (v6)
22000:22155/udp (v6)       ALLOW IN    Anywhere (v6)
22000:22155/tcp (v6)       ALLOW IN    Anywhere (v6)
27000:27155/udp (v6)       ALLOW IN    Anywhere (v6)
27000:27155/tcp (v6)       ALLOW IN    Anywhere (v6)
5000:5100/tcp (v6)         ALLOW IN    Anywhere (v6)
5000:5100/udp (v6)         ALLOW IN    Anywhere (v6)

ПС. При чём не все рефьюзит. Вот эти нужны 22155...27155 и они почему-то закрыты

Answer 1

[AUser0]

Потому что в iptables прописаны эти порты (в таблице ufw-user-input), но из основной таблицы INPUT нет ни одной ссылки внутрь этой ufw-user-input. То есть нужна именно ссылка: iptables -A INPUT -j ufw-user-input.

И ещё, у самой таблицы ufw-user-input почему-то нет возврата из неё, делаем: iptables -A ufw-user-input -j RETURN.

Но все эти настройки не имеют значения, потому что у вас по умолчанию разрешены вообще все порты на этом сервере: Chain INPUT (policy ACCEPT!

Comments

[Простой Человек]

Тааак, если же разрешены все порты и настройки не имеют значения, то почему порт рефьюзит?

[AUser0]

БлагоЯр Тишина, потому что вы не уточнили, что точкой назначения этого трафика является не сам сервер (таблица INPUT), а Docker-контейнер. И в этом случае правила должны располагаться в таблице FORWARD, а точнее - в её под-таблице DOCKER-USER.

P.S. У вас сеть-то до Docker-контейнера - настроена?

[Простой Человек]

AUser0, не знаю, настроена или нет, но скорее да, потому что к контейнерам имеется доступ к определённым портам, но нужно, чтобы к ним имели доступ к ещё и другим портам.

[AUser0]

Я так понимаю, вам нужно прописывать ufw-шные правила не в "incoming", а в какй-то "routed". Тогда они должны попасть в таблицу FORWARD.

На живую нитку можно сделать iptables -I DOCKER-USER -j ACCEPT, и обратиться к любому из перечисленных портов. Если доступ появится - копайте в сторону "routed".