BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

iptables no me abre puertos en Debian 8

BocaDePez
BocaDePez

Hola, ¿qué tal están?

Verán. Desde que instalé Debian 8.3.0 me aparecen cerrados los puertos que antes siempre conseguía abrir simplemente abriéndolos en el router. Pero ahora esos mismos puertos aparecen cerrados (y no he tocado el router). Abro los puertos con iptables:

iptables -A INPUT -p tcp -d 0/0 -s 0/0 --dport 6881 -j ACCEPT

Pero al hacer esto:

nmap 192.168.0.1 -p 6881 | grep -i tcp

me arroja esto:

6881/tcp closed bittorrent-tracker

Y con telnet esto dice:

telnet localhost 6881

Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused

El puerto 1500 lo he abierto (o supongo) con iptables y telnet arroja:

Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

Yo, la verdad, no sé qué puede estar pasando...

Un saludo.

BocaDePez
BocaDePez

Lo que pasa es que andas muy pez en conceptos básicos ...

Primero ..

con el comando de iptables, no estás 'abriendo puertos' ... simplemente estás aceptando el tráfico, que dependiendo de como tengas la política por defecto del chain ... estarás haciendo el canelo ... o no

Segundo ..

cuando haces el nmap y te dice que el puerto está 'cerrado' ... simplemente te está diciendo que no recibió respuesta, por lo que presupone que esta 'cerrado'

Tercero ..

El conection refused de el telnet, solo te confirma que no hay NADA ESCUCHANDO en ese puerto.

Y el 1500 no sé que demonios tienes colgado ahí.

Lo que tiene pinta todo esto, es que no tienes corriendo el programa que quiera que escuche en ese puerto. No solo hace falta redirigir los puertos en el router, hace falta que tengas lanzada la aplicación que ESCUCHA en ellos.

🗨️ 2
mceds

Coincido en esta primera valoración. Lo primero, comprobar si la aplicación está realmente escuchando y lo hace por el puerto previsto:

(sudo/su) netstat -nopluto | grep ":6881"

(Ya sé que el "nopluto" contiene opciones no válidas, pero Netstat se lo traga y a mí me sirve como mnemotécnico. Para el Netstat de Windows es más fácil: "ano")

🗨️ 1
BocaDePez
BocaDePez

Yo cuando configuré el amule y el transmission no tuve que tocar el Iptables y siempre salía la IP alta

Configura la IP en tu ordenador como manual

Si por ejemplo la IP donde tienes configurado los puertos en el router es 192.168.1.50, debes poner una IP estatica en tu ordenador que sea 192.168.1.50 y luego pones los puertos del programa.

pepejil

Aparte de lo que te han comentado, Iptables por defecto está configurado para aceptar todas las conexiones, así que no necesitas abrir puertos porque ya están abiertos. Si vas a toquetear Iptables es para hacer justo lo contrario.

BocaDePez
BocaDePez

¿No deberías lanzar nmap contra la IP de la máquina donde escucha el servicio en vez, lo que supongo que es la puerta de enlace?

¿Telnet a tu máquina con el puerto 6881 o 1500?, ¿qué quieres hacer?

BocaDePez
BocaDePez

Amigos: asunto solucionado.

Era la IP address: no recordaba que hace poco reinicié el router y la IP cambió de 192.168.0.101 a 192.168.0.100. Se me ha ocurrido ejecutar ifconfig y me he dado cuenta de lo que pasaba.

Qué idiota he sido...:smirk: Y yo desconfiando que estaba ya de Debian...

Aunque ya el aMule indica IP alta (tengo el puerto 1500 indicado en él como TCP y el 1985 como UDP), al ejecutar netstat:

usuario@debian:~$ sudo netstat -nopluto | grep ":6881"
udp 0 0 0.0.0.0:6881 0.0.0.0:* 2212/rtorrent off (0.00/0/0)
usuario@debian:~$ sudo netstat -nopluto | grep ":1500"
tcp 0 0 0.0.0.0:1500 0.0.0.0:* LISTEN 2169/amule off (0.00/0/0)

Supongo que de todas maneras, en rTorrent también estará abierto el 6881 y el rango de 60125-64125 (tanto aMule como rTorrent están ejecutándose en el momento de hacer "netstat").

Y sí, no conozco mucho iptables. Yo suelo usar Gufw para configurar puertos (ya que ya no existe Firestarter en Debian 8).

Gracias de nuevo.

🗨️ 16
mceds

Configura todos tus equipos con IP fija. DHCP es para invitados y para redes grandes en las que sería un coñazo hacerlo.

Los resultados del Netstat son correctos; de lo contrario, no te saldría ninguna línea. Prueba con el 60000, por ejemplo.

No habrá quien apunte que tener reglas de iptables cuando ya te protege la NAT del router es un poco paranoico. Yo tengo ambas cosas, pero siempre he de tener en cuenta que cada nuevo servicio al que redireccionar puertos implica "abrir" en el router y "abrir en iptables" (tengo el predeterminado entrante en DROP). Conviene no olvidarlo o te volverás loco.

🗨️ 15
BocaDePez
BocaDePez

¿Desde cuando DHCP es para invitados? Me parece un poco pretenciosa esta afirmación.

🗨️ 13
mceds

Oficialmente, no; pero por sensatez y por lógica, si un equipo va a estar siempre en tu domicilio, lo normal es asignarle una IP fija. Por el contrario, no vas a estar obligando a tu cuñado o a cada uno de los amiguitos del cumpleaños de tu larva a estar metiendo mano en la configuración de redes de su esmarfon.

Si el DHCP funciona por MACs es otra historia.

🗨️ 7
BocaDePez
BocaDePez
1
🗨️ 6
mceds
🗨️ 5
BocaDePez
BocaDePez
1
🗨️ 4
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
mceds
Alex B
Alex B

Cierto, yo utilizo en mi red DHCP (+14 equipos entre routers,portátiles,móviles, nas, tv android, Rpi(raxda rock)) con asignado por mac para los conocidos en un rango que me sea familiar, todo el que se salga de ese rango es una ip "invitada".

Hace una afirmación y la da como objetiva, cuando es subjetiva.

En muchas redes se utiliza leasing por mac a los mismos puntos de acceso, para que cuando hacen cambios en las subredes no tengan que ir equipo por equipo.

De cierta manera muchos proveedores de internet hacen leasing por mac y te asignan una ip fija utilizando un mecanismo dinámico.

Luego además si es por temas de NAT, existe upnp que puede abrir puertos dinámicamente.

🗨️ 4
mceds
🗨️ 3
Alex B
🗨️ 2
mceds
🗨️ 1
Alex B
BocaDePez
BocaDePez

Gracias por la respuesta.

Sí, con 60000 no aparece nada.

He deshabilitado el cortafuegos Gufw. ¿Con eso deshabilito todas las reglas de iptables?

En cuanto a lo de deshabilitar DHCP, mi conexión WAN es una PPPoE con nombre de usuario y contraseña (mi proveedor de Internet me da el servicio a través de mini-antena parabólica) y la conexión secundaria aparece deshabilitada. ¿No habrá algún problema si deshabilito el DHCP?

Un saludo.