Как решить проблему с предположительно открытым портом?
вы можете использовать команду svc, которая используется для остановки служб демона
Обычно у вас были бы такие правила iptables:
# define standard chains and default behaviour (here ACCEPT, could be DROP)
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# everything as a continuation is OK, This will be the bulk => 1st rule
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# drop garbage packages
-A INPUT -m conntrack --ctstate INVALID -j DROP
# server services including your new web server
-A INPUT -p tcp -m tcp --dport 12345 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2103 -m conntrack --ctstate NEW -j ACCEPT
# (perhaps some more, do include SSH!)
# allow incoming ping (good for testing)
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
# rest / default: DROP!
-A INPUT -j DROP
# Again, everything related is allowed
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# allow DNS, both UDP and TCP
-A OUTPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
# allow access to time servers (NTP)
-A OUTPUT -p udp -m udp --dport 123 -m conntrack --ctstate NEW -j ACCEPT
# Allow anything else you need, e.g. for OS update servers
-A OUTPUT -p tcp -m conntrack --ctstate NEW -m tcp -m multiport --dports 80,443 -j ACCEPT
# Allow outgoing ping
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# disallow the rest!
-A OUTPUT -j DROP
# Forward usually not needed except for routing and NAT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
Вы пропустили состояние RELATED.
Подобные выше правила обычно записываются в файл
# /etc/sysconfig/iptables
Их можно сохранить командой
# iptables-save > /etc/sysconfig/iptables
и восстановлен из этого файла
# iptables-restore < /etc/sysconfig/iptables
Существует системная служба под названием iptables.service, которая восстанавливает таблицы из этого файла при загрузке. В зависимости от вашей системы у вас может быть или не быть этой службы, и она может быть отключена(systemctl status iptables).
Если у вас есть эта служба(yum install iptables-servicesв CentOS ), после проверки правил iptables сохраните их один раз,
# iptables-save > /etc/sysconfig/iptables
, затем активируйте услугу
# systemctl enable iptables
# systemctl start iptables
После следующей загрузки проверьте, работает ли это, проверив текущие записи, введя (от имени пользователя root, как и все команды здесь):
# iptables -L -nv