PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewalld öffnet Ports nicht korrekt



LuMa
03.03.16, 21:43
Hallöchen,
irgendwie schaffe ich es nicht, mit firewalld die Ports 25 (SMTP) und 587 (Submissoin) zu öffen. Ich habe für den Port 587 einen eigenen firewalld-service hinzugefügt, mit ich eben den Überblick nicht verliere. Hier mal ein paar Ausgaben:



$ sudo firewall-cmd --zone=public --list-all

public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client http https smtp ssh submission
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:


Wie man sieht habe ich 5 Services/Ports zugelassen: SSH (22), HTTP/S (80/443), SMTP (25) und den "Submission Port" (587). Trotzdem bleiben die Ports 25 und 587 zu. Das bestätigt mir auch ein "Port-Tool".

Komischerweiße ist die Ausgabe von "netstat" verwirrend (ja, Postfix läuft):



$ sudo netstat -nltp

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1592/mysqld
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1114/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1839/master
tcp6 0 0 :::80 :::* LISTEN 1115/httpd
tcp6 0 0 :::22 :::* LISTEN 1114/sshd
tcp6 0 0 ::1:25 :::* LISTEN 1839/master
tcp6 0 0 :::443 :::* LISTEN 1115/httpd


Zum einen taucht hier der Port 587 garnicht auf, zum anderen hört Port 25 garnicht auf Verbindungen von außen, richtig?

Was geht hier schief?

Gruß

marce
04.03.16, 08:25
Abgesehen von den Firewall-Regeln - die entsprechenden Dienste sind aber schon so konfiguriert, daß sie (a) den Port auch bereitstellen und (b) dort auch auf externee Requests antworten, also nicht nur an 127.0.0.1 binden?

LuMa
04.03.16, 18:51
Ich habe Postfix nach dieser (http://dokuwiki.nausch.org/doku.php/centos:mail_c7:mta_2) Anleitung installiert. Es sollte "out of the box" funktionieren. Auch andere Dokumentationen verlieren kein Wort über eine weiter Konfiguration. Nach der Installation wird zuerst mit telnet geprüft, ob alles wie gewünscht funktioniert.

Und hier scheitert es:


Mar 02 17:53:30 MyServer postfix/smtp[2099]: connect to mydomain.com[fdd6:7e90:ec71:be65:b3d]:25: Network is unreachable
Mar 02 17:53:30 MyServer postfix/smtp[2099]: connect to mydomain.com[4.2.67.123]:25: Connection refused


Ich habe natürlich die IP Adressen hier geändert.




Abgesehen von den Firewall-Regeln - die entsprechenden Dienste sind aber schon so konfiguriert, daß sie (a) den Port auch bereitstellen und (b) dort auch auf externee Requests antworten, also nicht nur an 127.0.0.1 binden?


Unabhängig davon, die Ports müssten doch trotzdem von besagtem Tool als offen erkannt werden, oder?

Schard
04.03.16, 20:02
Was sagt denn
iptables -S?

marce
04.03.16, 20:13
nur Ports, die von der Anwendung auch geöffnet werden können erkannt werden. Und dann muss die Anwendung natürlich noch am richtigen Interface lauschen.

Ich hab' mir die Anleitung nicht angeschaut - es würde aber sicher helfen, wenn Du nicht nur Auswirkung sondern auch Ursache posten würdest. Also z.B. mal die Konfig von Postfix.