Q&A
iptables で、拒否ルール(全拒否など)の後に許可ルールを追加していませんでしょうか?
可能であれば、`iptables -nvL` の出力を教えてください。
また、一時的に iptables を無効にして外部から接続を試みると、どうなりますか?
前提・実現したいこと
WebサーバーでQUICを使いたくUDP443番のポート開放をしたつもりですが、外部から確認ができません。
発生している問題・エラーメッセージ
c:\PortQryV2>portqry -n 35.xxx.xx.xxx -p udp -e 443 Querying target system called: 35.xxx.xx.xxx Attempting to resolve IP address to a name... IP address resolved to myserver.work querying... UDP port 443 (https service): LISTENING or FILTERED
試したこと
- GCEを使用しているため、GCPのファイアウォール ルールにてUDP443番を許可します。
- サーバー側でUDP443番の許可をiptablesに追記して再起動を行います。
# vim /etc/sysconfig/iptables + -A INPUT -p udp -m state --state NEW -m udp --dport 443 -j ACCEPT # service iptables restart Redirecting to /bin/systemctl restart iptables.service
以上のことを一通り行いました。
どなたかお分かりの方いらっしゃいましたらご教授頂きたいです。よろしくお願いいたします。
追記
# iptables -nvL Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 2131 114K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 8110 1926K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F 7 472 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: up to 1/min burst 10 mode srcip htable-expire 120000 1 77 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 flags:0x17/0x02 limit: up to 1/min burst 10 mode srcip htable-expire 120000 44 3968 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 9 464 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:7080 17 700 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 10669 packets, 905K bytes) pkts bytes target prot opt in out source destination
# service iptables stop Redirecting to /bin/systemctl stop iptables.service C:\PortQryV2>portqry -n 35.xxx.xx.xxx -p udp -e 443 Querying target system called: 35.xxx.xx.xxx Attempting to resolve IP address to a name... IP address resolved to myserver.work querying... UDP port 443 (https service): LISTENING or FILTERED
投稿ありがとうございます。
投稿へ追記致しました。
QUIC対応のwebサーバは何を利用されているのですか。またポートListenは確認されていますか。
webサーバーはNginxです。
netstatにて確認したらUDP443番はありましたがLISTENの表記はありませんでした。
サーバにudp/443の問い合わせがきているか確認したければ、サーバにてtcpdumpコマンドでパケットキャプチャしてみてはどうでしょう
回答2件
0
iptables は問題なさそうです。
外部から接続を試みても UDP 443 のパケット数が 0 のままであれば、GCP、ISP、経路中のルーターなどで制限されている可能性が考えられます。
UDP port 443 (https service): LISTENING or FILTERED
UDP の場合、ポートスキャンでは判定できない場合があります。
実際のサービスで確認した方がいいと思います。
投稿2020/03/28 01:17
総合スコア12173
0
FWを通過できるならば、443ポートで待受しているかの確認が必要です。
投稿2020/03/27 12:25
総合スコア4830
あなたの回答
tips
プレビュー
