Archiv verlassen und diese Seite im Standarddesign anzeigen : welchen Port nutzt Postfix für DNS-Anfragen
DerAufgeklUser
09.06.07, 15:35
Ahoi!
Ich habe das Problem, dass postfix seit einrichten der Firewall per iptables keine Emails mehr entgegennimmt. Im logfile steht, dass es die domains nicht kenne, auch wenn es bekannte sind. Ich vermute also, dass postfix durch iptables daran gehindert wird, DNS-Anfragen zu senden.
Port 53 zu öffnen hat nicht funktioniert. Benutzt Postfix einen anderen Port?
Nein, alle Anwendungen die DNS Fragen nutzen als Zielport 53/udp. 53/tcp wird für Zonentransfers gebraucht. Was durchaus sein kann: Postfix fragt über 127.0.0.1 den auf der gleichen Maschine laufenden DNS Server, oder dein IPTables Paketfilter blockt den Quellport, i.d.R. ein Port >1023. Aber ohne Details zu deiner Konfiguration und der Fehlermeldung im Wortlaut, wird das nix.
DerAufgeklUser
10.06.07, 13:51
DNS-Server ist keiner installiert, mein iptables-Script sieht so aus:
#!/bin/bash
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Syn-flood protection:
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Furtive port scanner:
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Ping of death:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # SMTP rein
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # SMTP raus
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT # DNS TCP
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT # DNS UDP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS Squirrelmail
iptables -A INPUT -p tcp --dport 465 -j ACCEPT # SMTPS rein
iptables -A OUTPUT -p tcp --dport 465 -j ACCEPT # SMTPS raus
iptables -A INPUT -p tcp --dport 993 -j ACCEPT # IMAPS
iptables -A INPUT -p tcp --dport 4430 -j ACCEPT # HTTPS itvs.viersaiten.org
# Antworten zulassen
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
derRichard
10.06.07, 13:58
hallo!
warum filterst du auf die output-chain?
hat das eine speziellen grund?
und wenn dann filtere alles stateful und nicht nur einen teil.
//richard
... keine Regel zum zum Loggen der 'gedropten'?
der beste weg zum prüfen der iptables ist imho das log.
sowas wie (Beispiel ggf anpassen):
$IPTABLES ist bei mir immer eine VAR
# ----------------------------------------------------------
# Logging
echo -n "."
$IPTABLES -N my_drop
$IPTABLES -A my_drop -p ICMP -j LOG --log-prefix "DROP-ICMP "
$IPTABLES -A my_drop -p UDP -j LOG --log-prefix "DROP-UDP "
$IPTABLES -A my_drop -p TCP -j LOG --log-prefix "DROP-TCP "
$IPTABLES -A my_drop -j DROP
# ================================================== ========
# SCHLUSS
# ================================================== ========
# Punk zehn
echo -n "."
# ----------------------------------------------------------
# Ausputzer: Rest sperren, loggen
$IPTABLES -A INPUT -j my_drop
$IPTABLES -A FORWARD -j my_drop
$IPTABLES -A OUTPUT -j my_drop
echo ".done"
...und die Einstellung im syslog prüfen (wo die kernel meldungen landen)
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.