Estou lidando com uma configuração de firewall do servidor RHEL versão 6.4 e o objetivo é permitir que o dispositivo remoto conecte a porta tcp 6162, independentemente do tipo de serviço.
As regras do iptables são mostradas abaixo( iptables -L --line-numbers), e o serviço iptables foi reiniciado.
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
2 ACCEPT icmp -- anywhere anywhere
3 ACCEPT all -- anywhere anywhere
4 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
5 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:6160
6 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:patrol-coll
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Além disso, configurei a porta que desejo em sytem-config-firewall, conforme mostrado na figura abaixo.
O estranho é:
Não importa como eu configuro o firewall/iptable, a porta 6162 simplesmente não pode ser aberta. Ele foi testado com cliente telnet de hosts remotos windows/linux que residem na mesma sub-rede IP deste servidor RHEL 6.4. A conexão com a porta 6162 foi recusada, mas outras funcionaram (como a porta 6160).
A porta TCP 6162 parecia ser sempre "patrol-coll", mas estritamente falando, quero permitir que qualquer tipo de serviço conecte a porta 6162, não apenas "patrol-coll". Não sei se o tipo de serviço impacta na conexão...
Alguém pode fornecer algumas dicas para solucionar o problema do lado do sistema operacional da conexão, por favor?
Notas1: a saída de netstat -tulpné mostrada abaixo.
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2538/rpcbind
tcp 0 0 192.9.110.1:1521 0.0.0.0:* LISTEN 4806/tnslsnr
tcp 0 0 0.0.0.0:37426 0.0.0.0:* LISTEN 4493/ora_d000_SOGOE
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2917/sshd
tcp 0 0 0.0.0.0:46775 0.0.0.0:* LISTEN 4686/ora_d000_SOGOL
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2737/cupsd
tcp 0 0 127.0.0.1:10808 0.0.0.0:* LISTEN 3126/veeamservice
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3007/master
tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN 4046/sshd
tcp 0 0 127.0.0.1:199 0.0.0.0:* LISTEN 2869/snmpd
tcp 0 0 0.0.0.0:37449 0.0.0.0:* LISTEN 2657/rpc.statd
tcp 0 0 :::111 :::* LISTEN 2538/rpcbind
tcp 0 0 :::6160 :::* LISTEN 2886/veeamdeploymen
tcp 0 0 :::40976 :::* LISTEN 2657/rpc.statd
tcp 0 0 :::22 :::* LISTEN 2917/sshd
tcp 0 0 ::1:631 :::* LISTEN 2737/cupsd
tcp 0 0 ::1:25 :::* LISTEN 3007/master
tcp 0 0 ::1:6010 :::* LISTEN 4046/sshd
udp 0 0 0.0.0.0:111 0.0.0.0:* 2538/rpcbind
udp 0 0 127.0.0.1:2547 0.0.0.0:* 4495/ora_s000_SOGOE
udp 0 0 0.0.0.0:631 0.0.0.0:* 2737/cupsd
udp 0 0 0.0.0.0:1017 0.0.0.0:* 2538/rpcbind
udp 0 0 127.0.0.1:13179 0.0.0.0:* 4660/ora_pmon_SOGOL
udp 0 0 10.50.89.26:123 0.0.0.0:* 2925/ntpd
udp 0 0 192.9.110.1:123 0.0.0.0:* 2925/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 2925/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 2925/ntpd
udp 0 0 0.0.0.0:28426 0.0.0.0:* 4672/ora_lgwr_SOGOL
udp 0 0 0.0.0.0:18843 0.0.0.0:* 2657/rpc.statd
udp 0 0 0.0.0.0:161 0.0.0.0:* 2869/snmpd
udp 0 0 127.0.0.1:22464 0.0.0.0:* 4688/ora_s000_SOGOL
udp 0 0 0.0.0.0:9798 0.0.0.0:* 4479/ora_lgwr_SOGOE
udp 0 0 0.0.0.0:713 0.0.0.0:* 2657/rpc.statd
udp 0 0 127.0.0.1:48982 0.0.0.0:* 4467/ora_pmon_SOGOE
udp 0 0 127.0.0.1:26208 0.0.0.0:* 4686/ora_d000_SOGOL
udp 0 0 127.0.0.1:54112 0.0.0.0:* 4493/ora_d000_SOGOE
udp 0 0 :::111 :::* 2538/rpcbind
udp 0 0 :::1017 :::* 2538/rpcbind
udp 0 0 fe80::20c:29ff:fe74:83b5:123 :::* 2925/ntpd
udp 0 0 fe80::20c:29ff:fe74:83bf:123 :::* 2925/ntpd
udp 0 0 ::1:123 :::* 2925/ntpd
udp 0 0 :::123 :::* 2925/ntpd
udp 0 0 :::46340 :::* 2657/rpc.statd```
Sua porta 6160 funciona porque parece ter um Veeam Installer Service em execução (o nome do processo é algo como
veeamdeploymen*de acordo com suanetstat -tulpnsaída).Como ainda não há nenhum serviço em execução na porta 6162, a porta não será aberta, embora pareça que você já a desbloqueou nas configurações do firewall.
Embora alguém possa dizer "abrir uma porta em um firewall", isso é um pouco impróprio: um firewall realmente não abre portas, em vez disso, ele pode bloqueá- las para que uma porta não possa ser acessada mesmo que um aplicativo a abra. Se você não tiver nenhum serviço de rede em execução, todas as portas de rede serão fechadas apenas pelo sistema operacional e um firewall não pode mudar isso.
Ao exigir que você configure efetivamente qualquer acesso legítimo à porta de rede duas vezes (uma vez para ativar o serviço em si e depois para desbloqueá -lo nas configurações do firewall), um firewall minimiza o risco de permitir acidentalmente o acesso não intencional.
Um firewall não pode determinar com segurança qual aplicativo ou serviço remoto está tentando se conectar: mesmo que haja um protocolo para permitir isso, o sistema remoto sempre pode contar mentiras. O
Servicecampo é provavelmente apenas um rótulo amigável atribuído a um número de porta específico, geralmente em/etc/services.Algumas soluções de gerenciamento de firewall também permitem pré-definir grupos de números de porta como "serviços", para facilitar a configuração.
Se você deseja abrir a porta temporariamente para fins de teste, o utilitário "netcat" (nome do pacote
nc) pode fazer isso:Para abrir a porta 6162 para conexões TCP de entrada:
Ou se você quiser abrir a porta para pacotes UDP:
Depois que o comando for interrompido (com um Ctrl+ Cou um
killcomando), a porta será fechada automaticamente novamente, pois não haverá mais um processo presente para lidar com os dados recebidos. Quaisquer dados enviados para a porta pela conexão de rede serão emitidos para a saída padrão; se você não quiser isso, pode anexar>/dev/nullàsnclinhas de comando.Observação: a porta TCP/6162 é a porta padrão para o Veeam Data Mover, no entanto, o fato de seu sistema indicar um nome de serviço
patrol-collsugere que algum outro software pode (já ter) sido configurado para usar essa porta. (Talvez um coletor de estatísticas do software de monitoramento BMC Patrol?)