Portti 80 suljettu?

  • 18 January 2021
  • 5 kommenttia
  • 139 katselukertaa

Mulla on Telian avoin kuitu liittymä ja aikaisemmin kaikki portit olivat sisään päin auki. Viime viikolla huomasin, että portti 80 on suljettu. Muuhun tätä en tarvitse, mutta Letsencryptin certifikaattia ei voi uusia, ellei portti 80 ole avoinna. Portti 443 kyllä toimii hyvin, mutta virallisen certifikaatin saaminen hankaloitui tuon portin ollessa sujettu.


5 kommenttia

Käyttäjätaso 3
Kunniamerkki +14

@mikkox@  kirjoitti:

Mulla on Telian avoin kuitu liittymä ja aikaisemmin kaikki portit olivat sisään päin auki. Viime viikolla huomasin, että portti 80 on suljettu. Muuhun tätä en tarvitse, mutta Letsencryptin certifikaattia ei voi uusia, ellei portti 80 ole avoinna. Portti 443 kyllä toimii hyvin, mutta virallisen certifikaatin saaminen hankaloitui tuon portin ollessa sujettu.


Mikä liittymä sulla on? Ainakaan "Yhteys kotiin" nimisessä liittymässä tuota ei ole suljettu, mulla pyörii siellä oman sensoriverkon lämpötilasivusto, jota tarvitsen ihan joka päivä ja käytän sitä paljon myös etänä mm. puhelimesta esim. lämmitysjärjestelmän toiminnan varmistamiseen. Salausta ei noihin hommiin tarvita, koska siellä ei ole mitään salaista ja lämpötilasivustoa saavat katsoa muutkin. Tosin ulkomailta olen estänyt sinne yhteydet omalla reitittimellä, koska siellä asti sivustolle ei ole perusteltavissa olevaa järkikäyttöä.

Käyttäjätaso 7
Kunniamerkki +16

Oletko tarkastanut, ettei reitittimeesi ole tullut ohjelmistopäivitystä, joka on joko rikkonut portin 80 tai hukannut portinohjauksen?

Käyttäjätaso 3
Kunniamerkki +14

Senkin olisi muuten voinut mainita, että mikä reititin on kyseessä, josta tietäisi että voiko siinä ajaa tcpdumppia linuxin komentotilassa? Sitä kautta asiat selviäisi nopeiten, jos vika on esim. conffissa niin tulevat yhteysyritykset näkyvät tcpdumpilla silti.

Moi,

 

Liittymä on "YHTEYS KOTIIN L 70-100 MBIT/S" ja reititin kuitu boxin jälkeen TP-Link Archer C1200. Siinä on NAT päällä ja portinohjaus sisäverkossa olevalle linux boxille porteille 80 ja 443.

 

Sisäverkosta saa yhteyden julkista IP osoitetta käyttäen porttiin 80 ja se ohjautuu oikein tuolle linux boxille.

 

Jos saman tekee internetin puolelta niin tulee timeout. Tuntuisi siltä että liikenne ei vain mene läpi. Esim tällaisesta palvelusta https://www.yougetsignal.com/tools/open-ports/ tulee, että "Port 80 is closed", mutta 443:lle tulee open.

 

Reitin on buutattu useita kertoja, sekä ip osoite uusittu. Päivityksiä reitittimeen ei enää löydy, mutta en usko että vika on reitittimessä. Samoin kuitu muunnin on buutattu, mutta ei auta.

Käyttäjätaso 3
Kunniamerkki +14

@mikkox@  kirjoitti:

Sisäverkosta saa yhteyden julkista IP osoitetta käyttäen porttiin 80 ja se ohjautuu oikein tuolle linux boxille.

Tämä johtuu hairpin (NAT loopback) ominaisuudesta, eli se liikenne ei koskaan reititity Telian verkon kautta, vaan tekee lenkin pelkästään reitittimessä.

 

Onko tuossa reitittimessä linux-kehoitetta? Jos on, niin ajelepa siellä tcpdumppia. Muussa tapauksessa kytke se Linux boxi suoraan julkiseen verkkoon tilapäisesti ja aja siellä tcpdumppia siten ettei purkilta ole mitään muuta liikennettä samaan aikaan.

 

Jos koneessa on vain yksi ethernet-portti, niin:

sudo tcpdump port 80

 

Jos portteja on useampia, niin oikea portti määriteltävä -i optiolla.

 

Kun tcpdump on päällä, aja täältä testi sen linux-koneen julkiseen IP-osoitteeseen (jonka saat selville ifconfig komennolla) käyttäen tätä sivustoa.

 

Tämän jälkeen vasta voidaan päätellä, että toimiiko operaattorin verkko oikein vaiko ei. On tosi iso helpotus että sulla on siellä Linux, koska muussa tapauksessa asioiden selvitys loppuun asti olisi tosi hankalaa.

 

Jos vika on reitittimessä niin yksi mahdollisuus olisi ajaa tuota serveriä reitittimen ohi suoraan julkiseen osoitteeseen. Koska kyseessä on Linux niin siellä on jo olemassa käytännössä parempi palomuuri kuin mitä siinä TP-linkissä todennäköisesti on. Toki tarvitset kytkimen, jos kuitumuuntimella ei ole useampia portteja. Esimerkiksi itse ajelen NTP-serveriä juuri näin, tosin mulla on vielä lisäksi VLAN järjestely jonka ansiosta sama serveri näkyy sekä julkiseen verkkoon että sisäverkkoon yhtä aikaa, ja molemmille verkoille on vieläpä erilaiset palomuurisääntönsä (iptables).

Vastaa