Не загружаются бекапы по ftp с включенным iptables
Не загружаются бекапы по ftp с включенным iptables
Приветствую!
У меня проблема, с включенным iptables не загружаются бекапы на ftp://ftp.selcdn.ru Если отключить iptables в панели управления то все ок. OS Centos 6.6
В командной строке:
echo "PROTOCOL='TCP' PORT='12000:12100'" >> /usr/local/vesta/data/firewall/ports.conf
v-update-firewall
Выполнил, не помогло.
Log:
2015-05-15 14:05:03 Local: /backup/admin.2015-05-15.tar
2015-05-15 14:05:03 Remote: ftp://ftp.selcdn.ru/Robin/admin.2015-05-15.tar
Trying 188.93.16.237...
ftp: connect: Connection timed out
ftp: connect: Connection timed out
Trying 188.93.16.238...
2015-05-15 14:07:39 Size: 1 Mb
2015-05-15 14:07:39 Runtime: 1 minute
Конфиг ftp:
HOST='ftp.selcdn.ru'
USERNAME='xxxx'
PASSWORD='xxxx'
BPATH='/xxxx'
PORT='21'
Конфиг весты:
WEB_SYSTEM='httpd'
WEB_RGROUPS='apache'
WEB_PORT='8080'
WEB_SSL='mod_ssl'
WEB_SSL_PORT='8443'
PROXY_SYSTEM='nginx'
PROXY_PORT='80'
PROXY_SSL_PORT='443'
FTP_SYSTEM='vsftpd'
MAIL_SYSTEM='exim'
IMAP_SYSTEM='dovecot'
ANTIVIRUS_SYSTEM=''
ANTISPAM_SYSTEM=''
DB_SYSTEM='mysql'
DNS_SYSTEM='named'
STATS_SYSTEM='webalizer,awstats'
BACKUP_SYSTEM='local,ftp'
CRON_SYSTEM='crond'
DISK_QUOTA='no'
FIREWALL_SYSTEM='iptables'
FIREWALL_EXTENSION='fail2ban'
REPOSITORY='cmmnt'
VERSION='0.9.8'
LANGUAGE='en'
Сам iptables
# Generated by iptables-save v1.4.7 on Fri May 15 12:53:10 2015
*mangle
:PREROUTING ACCEPT [29:7851]
:INPUT ACCEPT [29:7851]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26:8056]
:POSTROUTING ACCEPT [26:8056]
COMMIT
# Completed on Fri May 15 12:53:10 2015
# Generated by iptables-save v1.4.7 on Fri May 15 12:53:10 2015
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-MAIL - [0:0]
:fail2ban-SSH - [0:0]
:fail2ban-VESTA - [0:0]
:vesta - [0:0]
-A INPUT -p tcp -m tcp --dport 8083 -j fail2ban-VESTA
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j fail2ban-MAIL
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 20,21,12000:12100 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587,2525 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 110,995 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 143,993 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8083 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s xxx.xxx.xxx.x/xx -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 110 -j ACCEPT
-A INPUT -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 8433 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 8083 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 12000:12100 -j ACCEPT
-A fail2ban-MAIL -j RETURN
-A fail2ban-SSH -s 58.218.205.66/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -j RETURN
-A fail2ban-VESTA -j RETURN
COMMIT
# Completed on Fri May 15 12:53:10 2015
Прошу помощи с решением данной проблемы.
P.S Я не особо продвинутый юзер, по-этому какие-либо решения прошу расписать пошагово. Заранее спс.
У меня проблема, с включенным iptables не загружаются бекапы на ftp://ftp.selcdn.ru Если отключить iptables в панели управления то все ок. OS Centos 6.6
В командной строке:
echo "PROTOCOL='TCP' PORT='12000:12100'" >> /usr/local/vesta/data/firewall/ports.conf
v-update-firewall
Выполнил, не помогло.
Log:
2015-05-15 14:05:03 Local: /backup/admin.2015-05-15.tar
2015-05-15 14:05:03 Remote: ftp://ftp.selcdn.ru/Robin/admin.2015-05-15.tar
Trying 188.93.16.237...
ftp: connect: Connection timed out
ftp: connect: Connection timed out
Trying 188.93.16.238...
2015-05-15 14:07:39 Size: 1 Mb
2015-05-15 14:07:39 Runtime: 1 minute
Конфиг ftp:
HOST='ftp.selcdn.ru'
USERNAME='xxxx'
PASSWORD='xxxx'
BPATH='/xxxx'
PORT='21'
Конфиг весты:
WEB_SYSTEM='httpd'
WEB_RGROUPS='apache'
WEB_PORT='8080'
WEB_SSL='mod_ssl'
WEB_SSL_PORT='8443'
PROXY_SYSTEM='nginx'
PROXY_PORT='80'
PROXY_SSL_PORT='443'
FTP_SYSTEM='vsftpd'
MAIL_SYSTEM='exim'
IMAP_SYSTEM='dovecot'
ANTIVIRUS_SYSTEM=''
ANTISPAM_SYSTEM=''
DB_SYSTEM='mysql'
DNS_SYSTEM='named'
STATS_SYSTEM='webalizer,awstats'
BACKUP_SYSTEM='local,ftp'
CRON_SYSTEM='crond'
DISK_QUOTA='no'
FIREWALL_SYSTEM='iptables'
FIREWALL_EXTENSION='fail2ban'
REPOSITORY='cmmnt'
VERSION='0.9.8'
LANGUAGE='en'
Сам iptables
# Generated by iptables-save v1.4.7 on Fri May 15 12:53:10 2015
*mangle
:PREROUTING ACCEPT [29:7851]
:INPUT ACCEPT [29:7851]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26:8056]
:POSTROUTING ACCEPT [26:8056]
COMMIT
# Completed on Fri May 15 12:53:10 2015
# Generated by iptables-save v1.4.7 on Fri May 15 12:53:10 2015
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-MAIL - [0:0]
:fail2ban-SSH - [0:0]
:fail2ban-VESTA - [0:0]
:vesta - [0:0]
-A INPUT -p tcp -m tcp --dport 8083 -j fail2ban-VESTA
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j fail2ban-MAIL
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 20,21,12000:12100 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587,2525 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 110,995 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 143,993 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8083 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s xxx.xxx.xxx.x/xx -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 110 -j ACCEPT
-A INPUT -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 8433 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 8083 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 12000:12100 -j ACCEPT
-A fail2ban-MAIL -j RETURN
-A fail2ban-SSH -s 58.218.205.66/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -j RETURN
-A fail2ban-VESTA -j RETURN
COMMIT
# Completed on Fri May 15 12:53:10 2015
Прошу помощи с решением данной проблемы.
P.S Я не особо продвинутый юзер, по-этому какие-либо решения прошу расписать пошагово. Заранее спс.
Re: Не загружаются бекапы по ftp с включенным iptables
У меня подобная проблема и она в iptables и его кривой настройке. Дело все в том, что исходящие соединения не работают, хотя политика стоит ACCEPT. Странности да и только.
Re: Не загружаются бекапы по ftp с включенным iptables
viewtopic.php?f=43&t=8403&p=26970#p26970lumian wrote:У меня подобная проблема и она в iptables и его кривой настройке. Дело все в том, что исходящие соединения не работают, хотя политика стоит ACCEPT. Странности да и только.
Собственно, есть такое дело после установки.
Re: Не загружаются бекапы по ftp с включенным iptables
https://bugs.vestacp.com/responses/ipta ... -78-x86-64 временное решение с багрепортов в моем случае не помогает(у меня есть все 4 файла, на всякий случай обновил данные с временного решения), о чем собственно говорит lumian. Есть еще идеи почему с включенным iptables не грузит бекпы на selectel?
Re: Не загружаются бекапы по ftp с включенным iptables
Перезапускали "службу" после манипуляций?
Re: Не загружаются бекапы по ftp с включенным iptables
Конечноskurudo wrote:Перезапускали "службу" после манипуляций?
Re: Не загружаются бекапы по ftp с включенным iptables
Workaround: Решил проблему добавлением одного правила в фаервол через панельку и перезапуском iptables.
Правило разрешает соединение на любые порты (порт 0) FTP сервера для резервных копий.
Конкретизировать порты не получилось ибо соединение идет в пассивном режиме и какой нам отдаст сервер заранее неизвестно.
Правило разрешает соединение на любые порты (порт 0) FTP сервера для резервных копий.
Конкретизировать порты не получилось ибо соединение идет в пассивном режиме и какой нам отдаст сервер заранее неизвестно.