ports de filtrage d'instance EC2 malgré le même groupe de sécurité

J'ai un problème similaire à un thread précédent ec2-vpc-instance-ports-are-filtered où je suis raisonnablement confiant J'ai le groupe de sécurité mis en place correctement et j'ai des services d'écoute sur les ports, mais je vois encore filtré les ports lors de l'exécution de nmap.ports de filtrage d'instance EC2 malgré le même groupe de sécurité

J'ai deux instances EC2. L'un est AWS qui fonctionne bien et l'autre est Redhat qui ne fonctionne pas. J'ai la politique de sécurité ci-dessous appliquée aux deux instances. L'instance redhat n'autorise que ping et ssh, l'AWS autorise toutes les règles.

Type Protocol Port Range Source 

HTTP TCP 80 212.250.191.71/32 
HTTP TCP 80 85.91.28.28/32 
SSH TCP 22 212.250.191.71/32 
SSH TCP 22 5.80.62.149/32 
SSH TCP 22 85.91.28.28/32 
Custom TCP Rule TCP 8080 - 8089 212.250.191.71/32 
Custom TCP Rule TCP 2001 212.250.191.71/32 
HTTPS TCP 443 212.250.191.71/32 
HTTPS TCP 443 85.91.28.28/32 
Custom ICMP Rule - IPv4 Echo Request N/A 212.250.191.71/32

nmap -sTU O montre

AWS version 
Host is up (0.023s latency). 
Not shown: 1000 open|filtered ports, 997 filtered ports 
PORT  STATE SERVICE 
22/tcp open ssh 
2001/tcp open dc 
8080/tcp open http-proxy 

Redhat 
Host is up (0.024s latency). 
Not shown: 1000 open|filtered ports, 999 filtered ports 
PORT STATE SERVICE 
22/tcp open ssh

netstat -plunta | grep LISTEN

AWS version 

tcp  0  0 0.0.0.0:3020    0.0.0.0:*     LISTEN  4869/q 
tcp  0  0 0.0.0.0:40781    0.0.0.0:*     LISTEN  4618/q 
tcp  0  0 0.0.0.0:3022    0.0.0.0:*     LISTEN  4875/q 
tcp  0  0 0.0.0.0:111     0.0.0.0:*     LISTEN  3152/rpcbind 
tcp  0  0 0.0.0.0:8080    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3024    0.0.0.0:*     LISTEN  4938/q 
tcp  0  0 127.0.0.1:18001    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:2001    0.0.0.0:*     LISTEN  4611/q 
tcp  0  0 0.0.0.0:3026    0.0.0.0:*     LISTEN  4736/q 
tcp  0  0 0.0.0.0:2002    0.0.0.0:*     LISTEN  4621/q 
tcp  0  0 0.0.0.0:3028    0.0.0.0:*     LISTEN  4812/q 
tcp  0  0 0.0.0.0:3030    0.0.0.0:*     LISTEN  4859/q 
tcp  0  0 0.0.0.0:22     0.0.0.0:*     LISTEN  3355/sshd 
tcp  0  0 0.0.0.0:3065    0.0.0.0:*     LISTEN  4738/q 
tcp  0  0 127.0.0.1:25    0.0.0.0:*     LISTEN  3706/sendmail 
tcp  0  0 127.0.0.1:6010    0.0.0.0:*     LISTEN  21880/sshd 
tcp  0  0 0.0.0.0:3034    0.0.0.0:*     LISTEN  4705/q 
tcp  0  0 0.0.0.0:3067    0.0.0.0:*     LISTEN  4805/q 
tcp  0  0 0.0.0.0:3004    0.0.0.0:*     LISTEN  5013/q 
tcp  0  0 0.0.0.0:3036    0.0.0.0:*     LISTEN  4932/q 
tcp  0  0 0.0.0.0:45053    0.0.0.0:*     LISTEN  3173/rpc.statd 
tcp  0  0 0.0.0.0:3006    0.0.0.0:*     LISTEN  4979/q 
tcp  0  0 0.0.0.0:3038    0.0.0.0:*     LISTEN  4871/q 
tcp  0  0 127.0.0.1:45375    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3040    0.0.0.0:*     LISTEN  4742/q 
tcp  0  0 0.0.0.0:3042    0.0.0.0:*     LISTEN  4851/q 
tcp  0  0 127.0.0.1:8005    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3013    0.0.0.0:*     LISTEN  4934/q 
tcp  0  0 0.0.0.0:1254    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3046    0.0.0.0:*     LISTEN  4857/q 
tcp  0  0 0.0.0.0:3016    0.0.0.0:*     LISTEN  4968/q 
tcp  0  0 0.0.0.0:3048    0.0.0.0:*     LISTEN  4744/q 
tcp  0  0 127.0.0.1:17001    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:8009    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 0.0.0.0:3050    0.0.0.0:*     LISTEN  4867/q 
tcp  0  0 0.0.0.0:3018    0.0.0.0:*     LISTEN  4796/q 
tcp  0  0 172.31.37.100:17003   0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 127.0.0.1:43339    0.0.0.0:*     LISTEN  4994/java 
tcp  0  0 :::53805     :::*      LISTEN  3173/rpc.statd 
tcp  0  0 :::111      :::*      LISTEN  3152/rpcbind 
tcp  0  0 :::22      :::*      LISTEN  3355/sshd 
tcp  0  0 ::1:6010     :::*      LISTEN  21880/sshd 
tcp  0  0 :::3002      :::*      LISTEN  4754/java 
tcp  0  0 ::ffff:172.31.37.100:12169 :::*      LISTEN  4640/java 
tcp  0  0 :::3306      :::*      LISTEN  3658/mysqld 

Redhat version 

tcp  0  0 0.0.0.0:8011   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 172.31.31.147:17004  0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:3053   0.0.0.0:*    LISTEN  17851/q 
tcp  0  0 0.0.0.0:3086   0.0.0.0:*    LISTEN  17899/q 
tcp  0  0 0.0.0.0:3023   0.0.0.0:*    LISTEN  18130/q 
tcp  0  0 0.0.0.0:3055   0.0.0.0:*    LISTEN  18074/q 
tcp  0  0 0.0.0.0:111    0.0.0.0:*    LISTEN  1/systemd 
tcp  0  0 0.0.0.0:3088   0.0.0.0:*    LISTEN  17973/q 
tcp  0  0 0.0.0.0:3057   0.0.0.0:*    LISTEN  18091/q 
tcp  0  0 127.0.0.1:40306   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:8082   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 127.0.0.1:18003   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:3027   0.0.0.0:*    LISTEN  17960/q 
tcp  0  0 0.0.0.0:3059   0.0.0.0:*    LISTEN  17903/q 
tcp  0  0 0.0.0.0:2003   0.0.0.0:*    LISTEN  17754/q 
tcp  0  0 0.0.0.0:2004   0.0.0.0:*    LISTEN  17762/q 
tcp  0  0 0.0.0.0:3061   0.0.0.0:*    LISTEN  18010/q 
tcp  0  0 127.0.0.1:37398   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:22    0.0.0.0:*    LISTEN  1076/sshd 
tcp  0  0 0.0.0.0:3031   0.0.0.0:*    LISTEN  18089/q 
tcp  0  0 0.0.0.0:3033   0.0.0.0:*    LISTEN  18020/q 
tcp  0  0 127.0.0.1:25   0.0.0.0:*    LISTEN  1042/master 
tcp  0  0 0.0.0.0:3066   0.0.0.0:*    LISTEN  18013/q 
tcp  0  0 127.0.0.1:6010   0.0.0.0:*    LISTEN  15960/sshd: ec2-use 
tcp  0  0 127.0.0.1:6011   0.0.0.0:*    LISTEN  15992/sshd: [email protected] 
tcp  0  0 0.0.0.0:3005   0.0.0.0:*    LISTEN  18170/q 
tcp  0  0 0.0.0.0:3037   0.0.0.0:*    LISTEN  18095/q 
tcp  0  0 0.0.0.0:3069   0.0.0.0:*    LISTEN  17905/q 
tcp  0  0 0.0.0.0:3071   0.0.0.0:*    LISTEN  18087/q 
tcp  0  0 0.0.0.0:3008   0.0.0.0:*    LISTEN  18135/q 
tcp  0  0 0.0.0.0:3041   0.0.0.0:*    LISTEN  17897/q 
tcp  0  0 0.0.0.0:40802   0.0.0.0:*    LISTEN  17746/q 
tcp  0  0 0.0.0.0:3044   0.0.0.0:*    LISTEN  17980/q 
tcp  0  0 127.0.0.1:8007   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:1255   0.0.0.0:*    LISTEN  18151/java 
tcp  0  0 0.0.0.0:3047   0.0.0.0:*    LISTEN  18015/q 
tcp  0  0 0.0.0.0:3017   0.0.0.0:*    LISTEN  18076/q 
tcp  0  0 127.0.0.1:17002   0.0.0.0:*    LISTEN  18151/java 
tcp6  0  0 :::111     :::*     LISTEN  1/systemd 
tcp6  0  0 :::22     :::*     LISTEN  1076/sshd 
tcp6  0  0 ::1:25     :::*     LISTEN  1042/master 
tcp6  0  0 :::3002     :::*     LISTEN  17918/java 
tcp6  0  0 ::1:6010    :::*     LISTEN  15960/sshd: ec2-use 
tcp6  0  0 ::1:6011    :::*     LISTEN  15992/sshd: [email protected] 
tcp6  0  0 172.31.31.147:12170  :::*     LISTEN  17786/java

Ma première pensée était que peut-être je iptables sur Redhat mais pas en cours d'exécution AWS cependant

service iptables stop 
service ip6tables stop

n'a pas aidé. C'est étrange pour moi que le même groupe de sécurité travaille sur une instance mais pas sur l'autre.

Mon expérience de réseautage est assez limitée, donc toutes les idées ont été grandement appréciées.

Merci pour votre aide!

Source

2017-08-30 ciaran

test simple: permettre à tous/toutes/tous dans le groupe de sécurité. Si cela résout, les paramètres de votre groupe de sécurité ne sont pas corrects. –

Je vérifie SELinux pour m'assurer qu'il est correctement configuré. Si quelque chose, essayez de le changer pour ne pas appliquer.

https://wiki.centos.org/HowTos/SELinux

https://www.centos.org/docs/5/html/5.2/Deployment_Guide/sec-sel-enable-disable-enforcement.html

Source

2017-08-30 12:02:22 BryceH

Merci pour ce Bryce, j'apprécie. J'ai trouvé que Selinux fonctionnait et était appliqué, et l'ai essayé en mode permissif qui n'a pas fonctionné. J'ai donc modifié le fichier/etc/selinux/config et l'ai désactivé. Même essayé de redémarrer le système, en redémarrant les processus pertinents et en obtenant toujours des résultats similaires # getsebool -a getsebool: SELinux est désactivé – ciaran

fixe - nécessaire pour débusquer les règles mises en cache de iptables avec

iptables -F

Source

2017-08-30 15:57:48 ciaran

ports de filtrage d'instance EC2 malgré le même groupe de sécurité

Répondre

Questions connexes