Как открыть диапазон портов 1024-65535 в centos 6.4?

Question

[dm86]

Есть необходимость работать с вебинаром Onwebinar как в качестве участника, так и в качестве ведущего. Для его работы на нашем школьном сервере необходимо открыть порты udp 1024-65535. Только недавно занимаюсь данным вопросом, поэтому обращаюсь за помощью. В файле iptables я три строки с такими портами (нашел в Интернете). А весь файлик теперь выглядит так:
iptables [-M--] 26 L:[ 17+11 28/ 38] *(1229/1689b) 0010 0x00A
:INPUT ACCEPT [366548:161464707]
:FORWARD ACCEPT [4503:794498]
:OUTPUT ACCEPT [397486:196075533]
:POSTROUTING ACCEPT [403223:197038940]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill.
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill.
COMMIT
# Completed on Sat Oct 19 01:13:14 2013
# Generated by iptables-save v1.4.7 on Sat Oct 19 01:13:14 2013
*filter
:FORWARD ACC[M N+EPT [0:0]
:INPUT ACCEPT [1024:65535]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1024:65535 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1024:65535 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -m state --state NEW -i eth1 -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT

Подскажите, пожалуйста, как сделать правильно, потому что при данном варианте работать с вебинаром по прежнему не получается. Или может где-то ещё в других файликах нужно прописывать, например, в прокси-сервере Squid. Ещё в папке etc/sysconfig есть файл просто iptable. Может там нужно что-то прописать?
Заранее спасибо за любую помощь!

Answer 1

[Юрий Ярош]

У вас полностью выключен фаервол, а правила не несут какого либо смысла...
Попробуйте просто почистить существующие правила

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Comments

[dm86]

А после данной очистки будут доступны все порты? В таком случае будет ли сервер уязвимым?

[Юрий Ярош]

Собственно в текущей конфигурации у вас и так доступны все порты )

[Юрий Ярош]

Вот эта строчка ужастно глупо выглядит :FORWARD ACC[M N+EPT [0:0]
Должно быть :FORWARD ACCEPT [0:0]
Попробуйте iptables-save и iptables-restore с файла ...

[Юрий Ярош]

Вообще на сегодняшний день настроенный фаерволл и прикрытые порты, хотя бы порткнокером, а ещё лучше в демилитализированной зоне какого-то OpenVPN... большая банальщина. Все зависит от целевых сервисов, и даже если вы закроете порты это не означает что тот же банальный nmap не сможет в обходную получить информацию о системе.

[Юрий Ярош]

У меня лично висит три порта во внешку: 80, 443 и 53
Все исходящие строго фильтруются по пользователю и процессу.
SSH и сервисная часть под отдельно запущеным LXC контейнером в отдельном OpenVPN под порткнокером... и на это все барахло написанны рецепты в puppet.

[dm86]

Собственно в текущей конфигурации у вас и так доступны все порты )

Но всё же так и не получается работать с OnWebinar.
Может что-то ещё нужно прописать в прокси сервере Squid?

[Юрий Ярош]

Попробуйте просто без проксика подключится.

[Юрий Ярош]

OnWebinar использует Flash и rtmfp.
Я не уверен что Flash в таком случае сможет нормально работать с любым socks proxy. Да и собственно squid не имеет прямого отношения к трансляции... весь трафик проходит мимо него.