无法向外部开放端口

2024-5-30 • tag-icon

我需要将我的网络服务器开放到互联网。我不知道我的配置出了什么问题，但没有开放到互联网的端口，并且服务器没有响应 ping。

我有带有以下接口的 debian squeeze webserver：

eth0 - 主互联网连接
eth1 - 通过第二个 ISP 连接（用于 PPP） eth2 - 访客 VLAN
eth3 - 本地网络
ppp0 - 具有白色 IP 的 PPP 连接

PPP 连接工作正常

root@gate:~# ping -I ppp0 -c 1 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 31.207.64.201 ppp0: 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=50 time=4.99 ms

--- 8.8.8.8 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 4.997/4.997/4.997/0.000 ms

但我没有收到外部地址的回复

root@gate:~# ping -I eth0 -c 1 31.207.64.201
PING 31.207.64.201 (31.207.64.201) from 172.23.62.140 eth0: 56(84) bytes of data.

--- 31.207.64.201 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

Nmap 说我的没有启动

root@gate:~# nmap -T4 -e eth0 31.207.64.201

Starting Nmap 6.00 ( http://nmap.org ) at 2014-09-18 19:44 MSK
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 0.48 seconds

我的 iptables 配置

# flush tables
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle

echo Old rules flushed

# allow lo
iptables -A INPUT -i lo                     -j ACCEPT
iptables -A INPUT -i eth1                   -j ACCEPT
iptables -A INPUT -i eth2 -s 192.168.8.0/23 -j ACCEPT
iptables -A INPUT -i eth3 -s 192.168.0.0/23 -j ACCEPT

iptables -A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i ppp0 -j ACCEPT

iptables -P OUTPUT ACCEPT

# Block vlan10 -> local traffic
iptables -A FORWARD -i eth2 -o eth3 -j DROP

# Allow transit packets
iptables -A FORWARD -i eth0 -o eth2 -d 192.168.8.0/23 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth3 -d 192.168.0.0/23 -j ACCEPT

iptables -A FORWARD -i eth2 -o eth0 -s 192.168.8.0/23 -j ACCEPT
iptables -A FORWARD -i eth3 -o eth0 -s 192.168.0.0/23 -j ACCEPT

iptables -P FORWARD DROP

# Enable NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/23 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.8.0/23 -o eth0 -j MASQUERADE


iptables -A INPUT -p udp --dport 1812 -j ACCEPT
iptables -A INPUT -p tcp --dport 1812 -j ACCEPT
iptables -A INPUT -p tcp --dport 1812 --syn -j ACCEPT

iptables -A INPUT -i ppp0 -j LOG --log-prefix "input tcp: "

iptables -P INPUT DROP

路由输出

root@gate:~# ip route
default via 172.23.62.129 dev eth0
10.0.0.1 dev ppp0  proto kernel  scope link  src 31.207.64.201
172.18.0.0/17 dev eth1  proto kernel  scope link  src 172.18.99.103
172.23.62.128/26 dev eth0  proto kernel  scope link  src 172.23.62.140
192.168.0.0/23 dev eth3  proto kernel  scope link  src 192.168.0.3
192.168.8.0/24 dev eth2  proto kernel  scope link  src 192.168.8.1

我有 nginx 监听端口 80

root@gate:~# netstat -tlp | grep http
tcp        0      0 *:http                  *:*                     LISTEN      23453/nginx: master

您可以看到，我尝试记录传入 ppp0 的数据包，但在尝试 ping 或使用 nmap 扫描时，/var/log/messages 中没有任何相关内容

答案1

关于您的问题，请禁用您机器中的防火墙，并检查您是否能够从外部网络 ping 服务器。如果您遇到 ping 问题，那么这可能是由于 DSN 名称的 IP 路由问题。如果您能够 ping 服务器，请从 iptables 或 UFW 刷新规则并检查