forum.opennet.ru - "проблема доступа по 22-му и 25-му портам" (11)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"проблема доступа по 22-му и 25-му портам"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"проблема доступа по 22-му и 25-му портам"
Сообщение от konst (??) on 10-Июн-07, 01:13
OC: ScientificLinux 4.4 запущены кроме прочего sendmail и sshd Произходит какая-то ерунда: Нахожусь по ssh на сервере. Правлю файлик /etc/hosts.deny на предмет внесения туда записей, типа sendmail: .adsl.spamserver.com,.netpool.jp и пр. (по результатам анализа maillog) вдруг sendmail перестал принимать коннекты (load averege...). Изменил циферку в sendmail.cf, перезапустил. Безрезультатно. ps auxw \|grep sendmail показывает что начинаются несколько коннектов , после чего несколько sendmail [accept connection] telnet host 25 - зависает намертво... Это еще полбеды. При открытом ssh-коннекте, пытаюсь создать еще одну ssh-сессию: ситуация та же, что и с sendmail ps auxw\|grep sshd ... sshd [accept connection] (штук пять) в /var/log/secure: (пишу по памяти, т.к. доступа сейчас нет) Cant bind 0.0.0.0 to port 22. Address already in use... ---------- несколько раз перезапускал сервер, комментировал в hosts.deny все. Опускал firewall, опускал внешний ip (думая, что проблема в "переизбытке" коннектов извне). Ничего не изменилось: nmap -p 22,25 server показывает, что порты открыты ssh server telnet server 25 просто висят Что это может быть за фигня? Произошла какая-то ерунда:
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

проблема доступа по 22-му и 25-му портам, sda, 14:09 , 11-Июн-07, (1)

проблема доступа по 22-му и 25-му портам, konst, 14:41 , 11-Июн-07, (2)

проблема доступа по 22-му и 25-му портам, kailex, 17:54 , 11-Июн-07, (3)

проблема доступа по 22-му и 25-му портам, konst, 21:57 , 11-Июн-07, (4)

проблема доступа по 22-му и 25-му портам, konst, 04:02 , 13-Июн-07, (5)

проблема доступа по 22-му и 25-му портам, kailex, 18:09 , 14-Июн-07, (6)

проблема доступа по 22-му и 25-му портам, kailex, 18:12 , 14-Июн-07, (7)
проблема доступа по 22-му и 25-му портам, konst, 04:50 , 15-Июн-07, (8)

проблема доступа по 22-му и 25-му портам, sda, 08:52 , 15-Июн-07, (9)

проблема доступа по 22-му и 25-му портам, konst, 16:55 , 15-Июн-07, (10)
проблема доступа по 22-му и 25-му портам, kailex, 17:00 , 15-Июн-07, (11)

Сообщения по теме [Сортировка по времени, UBB]

1. "проблема доступа по 22-му и 25-му портам"

Сообщение от sda (??) on 11-Июн-07, 14:09

а при чем тут твой файл hosts.deny и строчка Cant bind 0.0.0.0 to port 22. Address already in use... ?
судя по всему ты пытаешься запустить еще один sshd, а первый sshd у тебя его занял порт... тут два варианта.. либо у тебя виснет sshd(в этом случае у тебя порт занят, но никто по нему не отвечает.. поэтому и виснет сессия telnet)
либо ты с firewall(возможно) чего-то напутал..
сказать однозначно не представляется возможным. где логи? где объяснение трудности?
и вот какой совет. sshd с почтой ну никак не связан. поэтому греши на то, что ои мешает работать, видимо что-то третье :)
и еще. пробуй сначала сделать так, чтобы заработало одно что-то

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "проблема доступа по 22-му и 25-му портам"

Сообщение от konst (??) on 11-Июн-07, 14:41

>а при чем тут твой файл hosts.deny и строчка Cant bind 0.0.0.0
>to port 22. Address already in use... ?
>
>судя по всему ты пытаешься запустить еще один sshd, а первый sshd
>у тебя его занял порт... тут два варианта.. либо у тебя
>виснет sshd(в этом случае у тебя порт занят, но никто по
>нему не отвечает.. поэтому и виснет сессия telnet)
>либо ты с firewall(возможно) чего-то напутал..
>сказать однозначно не представляется возможным. где логи? где объяснение трудности?
>
>и вот какой совет. sshd с почтой ну никак не связан. поэтому
>греши на то, что ои мешает работать, видимо что-то третье :)
>
>и еще. пробуй сначала сделать так, чтобы заработало одно что-то
К сожалению, я не на работе - а т.к. нет теперь доступа, то нет и логов.
Пытаюсь сэмулировать ситуацию на домашнем компе...
Судя по всему, проблема все-таки в hosts.deny...
В настоящий момент:
ssh sever выдает
ssh_exchange_identification: Connection closed by remote host
тот же результат можно получить если прописать в hosts.deny ALL:ALL
и ssh localhost

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "проблема доступа по 22-му и 25-му портам"

Сообщение от kailex (ok) on 11-Июн-07, 17:54

если в host.deny ALL:ALL, что прописано в hosts.allow (localhost, external_ip, local_ip сервера)?
попробуй отключить загрузку sshd и посмотри, будет ли у тебя что-то висеть на 22 порту.
Что выдает
netstat -apnA inet | grep ssh

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "проблема доступа по 22-му и 25-му портам"

Сообщение от konst (??) on 11-Июн-07, 21:57

>если в host.deny ALL:ALL, что прописано в hosts.allow (localhost, external_ip, local_ip сервера)?
>
>попробуй отключить загрузку sshd и посмотри, будет ли у тебя что-то висеть
>на 22 порту.
>Что выдает
>netstat -apnA inet | grep ssh
Дело в том, что ALL:ALL не было прописано. Только sendmail:.host1.com,.host2.com... + м.б. я случайно еще какую строку ввел...
Доступа до вторника нет.
Я попросил завтра удалить hosts.deny вовсе. Если положение не измениться - буду донимать всех во вторник :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "проблема доступа по 22-му и 25-му портам"

Сообщение от konst (??) on 13-Июн-07, 04:02

>>если в host.deny ALL:ALL, что прописано в hosts.allow (localhost, external_ip, local_ip сервера)?
>>
>>попробуй отключить загрузку sshd и посмотри, будет ли у тебя что-то висеть
>>на 22 порту.
>>Что выдает
>>netstat -apnA inet | grep ssh
>
>Дело в том, что ALL:ALL не было прописано. Только sendmail:.host1.com,.host2.com... + м.б.
>я случайно еще какую строку ввел...
>Доступа до вторника нет.
>Я попросил завтра удалить hosts.deny вовсе. Если положение не измениться - буду
>донимать всех во вторник :)
Сообщаю о результатах.
Попросил удалить (переименовать) hosts.deny. [mv ..., touch hosts.deny]. Эффект == 0.
Попросил добавить в hosts.allow ALL:ALL. Все заработало (после перезапуска sendmail,sshd).
Это конечно ненормально.  Ведь в hosts.deny(.old) ничего "криминального" не было.
Насколько я понимаю - hosts.deny - это основа для запрещений. Если он пустой- то hosts.allow игнорируется...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "проблема доступа по 22-му и 25-му портам"

Сообщение от kailex (??) on 14-Июн-07, 18:09

>Сообщаю о результатах.
>Попросил удалить (переименовать) hosts.deny. [mv ..., touch hosts.deny]. Эффект == 0.
>Попросил добавить в hosts.allow ALL:ALL. Все заработало (после перезапуска sendmail,sshd).
>Это конечно ненормально.  Ведь в hosts.deny(.old) ничего "криминального" не было.
>Насколько я понимаю - hosts.deny - это основа для запрещений. Если он
>пустой- то hosts.allow игнорируется...
По умолчанию сначала обрабатываются правила из hosts.allow, если ни одно не совпало, то применяются правила из hosts.deny. Может, ты неправильно указал имена сервисов в hosts.allow? Попробуй так:
hosts.allow:
ALL:192.168.1.0
sendmail:ALL
sshd:ALL
popa3d:ALL
hosts.deny:
ALL:ALL
или
ALL:spammers.com (лучше указывать ip адрес)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "проблема доступа по 22-му и 25-му портам"

Сообщение от kailex (??) on 14-Июн-07, 18:12

да, и еще в hosts.allow добавь
ALL:LOCAL
ALL:server_ip

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "проблема доступа по 22-му и 25-му портам"

Сообщение от konst (??) on 15-Июн-07, 04:50

>>Сообщаю о результатах.
>>Попросил удалить (переименовать) hosts.deny. [mv ..., touch hosts.deny]. Эффект == 0.
>>Попросил добавить в hosts.allow ALL:ALL. Все заработало (после перезапуска sendmail,sshd).
>>Это конечно ненормально.  Ведь в hosts.deny(.old) ничего "криминального" не было.
>>Насколько я понимаю - hosts.deny - это основа для запрещений. Если он
>>пустой- то hosts.allow игнорируется...
>
>По умолчанию сначала обрабатываются правила из hosts.allow, если ни одно не совпало,
>то применяются правила из hosts.deny. Может, ты неправильно указал имена сервисов
>в hosts.allow? Попробуй так:
>hosts.allow:
>ALL:192.168.1.0
>sendmail:ALL
>sshd:ALL
>popa3d:ALL
>
>hosts.deny:
>ALL:ALL
>или
>ALL:spammers.com (лучше указывать ip адрес)
В среду занимался экспериментаторством на эту тему (еще не читая этого поста). Пришел к весьма неутешительным выводам: ЧТО-ТО НЕ ТАК В ЭТОМ ЛУДШЕМ ИЗ МИРОВ :)
Раньше я тоже считал, что правила в hosts...allow и deny действуют так как Вы написали. У меня так ибыло прописано:
h.allow - пусто
h.deny - sendmail:...списочек
-------
Нынче же: (по результатам экспериментов)
при Пустом h.deny -
если в h.allow не прописать первой строчкой ALL:ALL или
sshd:my_ip
то я лишаюсь доступа на сервер (по ssh)
любые комбинации в h.allow с sendmail:...:allow/deny приводят к перекрытию доступа на сервер для ВСЕГО. В т.ч. и по ssh, хотя в h.allow ниже прописано: sshd:ALL
Короче какая-то бодяга...
Так как защита основана на firewall, я не особо парюсь. Поставил ALL:ALL и хрен ты с ним.
Абидна, что пропала возможность ограничивать спаммеров через hosts.deny (в iptables же не станешь прописывать динамические ip)...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "проблема доступа по 22-му и 25-му портам"

Сообщение от sda (??) on 15-Июн-07, 08:52

>Абидна, что пропала возможность ограничивать спаммеров через hosts.deny (в iptables же не
>станешь прописывать динамические ip)...
  Этим должен заниматься сам почтовик, а никак не firewall, а тем более hosts* %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "проблема доступа по 22-му и 25-му портам"

Сообщение от konst (??) on 15-Июн-07, 16:55

>>Абидна, что пропала возможность ограничивать спаммеров через hosts.deny (в iptables же не
>>станешь прописывать динамические ip)...
>
>  Этим должен заниматься сам почтовик, а никак не firewall, а
>тем более hosts* %)
почтовик работает в связке с spamassasian. И хорошо справляется. Но я бы хотел немного снизить нагрузку на почтовик с помощью tcpwrapper. Раньше записи в hosts.deny очень помагали. Но теперь что-то слетело...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "проблема доступа по 22-му и 25-му портам"

Сообщение от kailex (??) on 15-Июн-07, 17:00

>>Абидна, что пропала возможность ограничивать спаммеров через hosts.deny (в iptables же не
>>станешь прописывать динамические ip)...
>
>  Этим должен заниматься сам почтовик, а никак не firewall, а
>тем более hosts* %)
Согласен. По теме отсеивания спамеров с динaм. IP почитай http://www.sendmail.org/m4/anti_spam.html, обрати внимание на фильтрацию dnsbl - как раз по динамическим адресам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "проблема доступа по 22-му и 25-му портам"
Сообщение от sda (??) on 11-Июн-07, 14:09
а при чем тут твой файл hosts.deny и строчка Cant bind 0.0.0.0 to port 22. Address already in use... ? судя по всему ты пытаешься запустить еще один sshd, а первый sshd у тебя его занял порт... тут два варианта.. либо у тебя виснет sshd(в этом случае у тебя порт занят, но никто по нему не отвечает.. поэтому и виснет сессия telnet) либо ты с firewall(возможно) чего-то напутал.. сказать однозначно не представляется возможным. где логи? где объяснение трудности? и вот какой совет. sshd с почтой ну никак не связан. поэтому греши на то, что ои мешает работать, видимо что-то третье :) и еще. пробуй сначала сделать так, чтобы заработало одно что-то
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "проблема доступа по 22-му и 25-му портам"
	Сообщение от konst (??) on 11-Июн-07, 14:41
	>а при чем тут твой файл hosts.deny и строчка Cant bind 0.0.0.0 >to port 22. Address already in use... ? > >судя по всему ты пытаешься запустить еще один sshd, а первый sshd >у тебя его занял порт... тут два варианта.. либо у тебя >виснет sshd(в этом случае у тебя порт занят, но никто по >нему не отвечает.. поэтому и виснет сессия telnet) >либо ты с firewall(возможно) чего-то напутал.. >сказать однозначно не представляется возможным. где логи? где объяснение трудности? > >и вот какой совет. sshd с почтой ну никак не связан. поэтому >греши на то, что ои мешает работать, видимо что-то третье :) > >и еще. пробуй сначала сделать так, чтобы заработало одно что-то К сожалению, я не на работе - а т.к. нет теперь доступа, то нет и логов. Пытаюсь сэмулировать ситуацию на домашнем компе... Судя по всему, проблема все-таки в hosts.deny... В настоящий момент: ssh sever выдает ssh_exchange_identification: Connection closed by remote host тот же результат можно получить если прописать в hosts.deny ALL:ALL и ssh localhost
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "проблема доступа по 22-му и 25-му портам"
	Сообщение от kailex (ok) on 11-Июн-07, 17:54
	если в host.deny ALL:ALL, что прописано в hosts.allow (localhost, external_ip, local_ip сервера)? попробуй отключить загрузку sshd и посмотри, будет ли у тебя что-то висеть на 22 порту. Что выдает netstat -apnA inet \| grep ssh
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "проблема доступа по 22-му и 25-му портам"
	Сообщение от konst (??) on 11-Июн-07, 21:57
	>если в host.deny ALL:ALL, что прописано в hosts.allow (localhost, external_ip, local_ip сервера)? > >попробуй отключить загрузку sshd и посмотри, будет ли у тебя что-то висеть >на 22 порту. >Что выдает >netstat -apnA inet \| grep ssh Дело в том, что ALL:ALL не было прописано. Только sendmail:.host1.com,.host2.com... + м.б. я случайно еще какую строку ввел... Доступа до вторника нет. Я попросил завтра удалить hosts.deny вовсе. Если положение не измениться - буду донимать всех во вторник :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "проблема доступа по 22-му и 25-му портам"
	Сообщение от konst (??) on 13-Июн-07, 04:02
	>>если в host.deny ALL:ALL, что прописано в hosts.allow (localhost, external_ip, local_ip сервера)? >> >>попробуй отключить загрузку sshd и посмотри, будет ли у тебя что-то висеть >>на 22 порту. >>Что выдает >>netstat -apnA inet \| grep ssh > >Дело в том, что ALL:ALL не было прописано. Только sendmail:.host1.com,.host2.com... + м.б. >я случайно еще какую строку ввел... >Доступа до вторника нет. >Я попросил завтра удалить hosts.deny вовсе. Если положение не измениться - буду >донимать всех во вторник :) Сообщаю о результатах. Попросил удалить (переименовать) hosts.deny. [mv ..., touch hosts.deny]. Эффект == 0. Попросил добавить в hosts.allow ALL:ALL. Все заработало (после перезапуска sendmail,sshd). Это конечно ненормально. Ведь в hosts.deny(.old) ничего "криминального" не было. Насколько я понимаю - hosts.deny - это основа для запрещений. Если он пустой- то hosts.allow игнорируется...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "проблема доступа по 22-му и 25-му портам"
	Сообщение от kailex (??) on 14-Июн-07, 18:09
	>Сообщаю о результатах. >Попросил удалить (переименовать) hosts.deny. [mv ..., touch hosts.deny]. Эффект == 0. >Попросил добавить в hosts.allow ALL:ALL. Все заработало (после перезапуска sendmail,sshd). >Это конечно ненормально. Ведь в hosts.deny(.old) ничего "криминального" не было. >Насколько я понимаю - hosts.deny - это основа для запрещений. Если он >пустой- то hosts.allow игнорируется... По умолчанию сначала обрабатываются правила из hosts.allow, если ни одно не совпало, то применяются правила из hosts.deny. Может, ты неправильно указал имена сервисов в hosts.allow? Попробуй так: hosts.allow: ALL:192.168.1.0 sendmail:ALL sshd:ALL popa3d:ALL hosts.deny: ALL:ALL или ALL:spammers.com (лучше указывать ip адрес)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "проблема доступа по 22-му и 25-му портам"
	Сообщение от kailex (??) on 14-Июн-07, 18:12
	да, и еще в hosts.allow добавь ALL:LOCAL ALL:server_ip
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "проблема доступа по 22-му и 25-му портам"
	Сообщение от konst (??) on 15-Июн-07, 04:50
	>>Сообщаю о результатах. >>Попросил удалить (переименовать) hosts.deny. [mv ..., touch hosts.deny]. Эффект == 0. >>Попросил добавить в hosts.allow ALL:ALL. Все заработало (после перезапуска sendmail,sshd). >>Это конечно ненормально. Ведь в hosts.deny(.old) ничего "криминального" не было. >>Насколько я понимаю - hosts.deny - это основа для запрещений. Если он >>пустой- то hosts.allow игнорируется... > >По умолчанию сначала обрабатываются правила из hosts.allow, если ни одно не совпало, >то применяются правила из hosts.deny. Может, ты неправильно указал имена сервисов >в hosts.allow? Попробуй так: >hosts.allow: >ALL:192.168.1.0 >sendmail:ALL >sshd:ALL >popa3d:ALL > >hosts.deny: >ALL:ALL >или >ALL:spammers.com (лучше указывать ip адрес) В среду занимался экспериментаторством на эту тему (еще не читая этого поста). Пришел к весьма неутешительным выводам: ЧТО-ТО НЕ ТАК В ЭТОМ ЛУДШЕМ ИЗ МИРОВ :) Раньше я тоже считал, что правила в hosts...allow и deny действуют так как Вы написали. У меня так ибыло прописано: h.allow - пусто h.deny - sendmail:...списочек ------- Нынче же: (по результатам экспериментов) при Пустом h.deny - если в h.allow не прописать первой строчкой ALL:ALL или sshd:my_ip то я лишаюсь доступа на сервер (по ssh) любые комбинации в h.allow с sendmail:...:allow/deny приводят к перекрытию доступа на сервер для ВСЕГО. В т.ч. и по ssh, хотя в h.allow ниже прописано: sshd:ALL Короче какая-то бодяга... Так как защита основана на firewall, я не особо парюсь. Поставил ALL:ALL и хрен ты с ним. Абидна, что пропала возможность ограничивать спаммеров через hosts.deny (в iptables же не станешь прописывать динамические ip)...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "проблема доступа по 22-му и 25-му портам"
	Сообщение от sda (??) on 15-Июн-07, 08:52
	>Абидна, что пропала возможность ограничивать спаммеров через hosts.deny (в iptables же не >станешь прописывать динамические ip)... Этим должен заниматься сам почтовик, а никак не firewall, а тем более hosts* %)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "проблема доступа по 22-му и 25-му портам"
	Сообщение от konst (??) on 15-Июн-07, 16:55
	>>Абидна, что пропала возможность ограничивать спаммеров через hosts.deny (в iptables же не >>станешь прописывать динамические ip)... > > Этим должен заниматься сам почтовик, а никак не firewall, а >тем более hosts* %) почтовик работает в связке с spamassasian. И хорошо справляется. Но я бы хотел немного снизить нагрузку на почтовик с помощью tcpwrapper. Раньше записи в hosts.deny очень помагали. Но теперь что-то слетело...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "проблема доступа по 22-му и 25-му портам"
	Сообщение от kailex (??) on 15-Июн-07, 17:00
	>>Абидна, что пропала возможность ограничивать спаммеров через hosts.deny (в iptables же не >>станешь прописывать динамические ip)... > > Этим должен заниматься сам почтовик, а никак не firewall, а >тем более hosts* %) Согласен. По теме отсеивания спамеров с динaм. IP почитай http://www.sendmail.org/m4/anti_spam.html, обрати внимание на фильтрацию dnsbl - как раз по динамическим адресам.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]