Miten avata portti 587 [ratkaistu]

[JoniX]

Elikä, suljin tuossa äsken juuri UFW:n ja ulkoa päin skannattuna kaikki TCP/UDP/mitkä lie portit ovat edelleen näkymättömiä, paitsi 1029 joka näkyy olevan suljettu. Miksi näin? Käytössä on Ubuntu Jaunty 9.04 ja liikkuva laajakaista Huawei E230 mokkulalla. Olisi mukavaa pystyä lähettämään sähköpostia Thunderbirdillä, etenkin tarvitsisin Gmailia varten porttia 587. Vai estääköhän palveluntarjoaja SMTP portit?

[gdm]

Koodia: [Valitse]

sudo ufw allow 587Jos olet kerran ufw:n laittanut päälle.

kyseinen ohjelma on edustaohjelma kernelin palomuurille iptables
Voit tarkistaa tilan

Koodia: [Valitse]

sudo iptables -L

[JoniX]

Tein juuri kuten neuvoitte, mutta portti on silti näkymätön. Omituista.

*edit* Pistin liiitteeksi kuvan grc.comin skannaamista porteista. Langallisella laajakaista portit olivat sinisiä kun suljin palomuurin.*edit*

[gdm]

Tein juuri kuten neuvoitte, mutta portti on silti näkymätön. Omituista.

Ei tarvitse teititellä, muutenkin on harmaiden hiusten takia vaanha olo;)

Mutta mitä tuo iptables komento kertoo? ja "sudo ufw status"

[JoniX]

minä@mun-kone:~$ sudo ufw status
Status: inactive

No tehdään sitten sinunkaupat. Lisäsin muuten screenshotin edelliseen viestiini.

[gdm]

Puuttuu se "sudo iptables -L" tuloste.

En ole sen paremmin oerehtynyt ufw:n toimintaan että tarvitseeko sen olla "päällä" ennenkuin se hyväksyy uudet muutokset (jos aikaisemmin jo ollut päällä)

[JoniX]

Ainiin. Tässä:

Koodia: [Valitse]

minä@kone$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ufw-before-logging-input  all  --  anywhere             anywhere           
ufw-before-input  all  --  anywhere             anywhere           
ufw-after-input  all  --  anywhere             anywhere           
ufw-after-logging-input  all  --  anywhere             anywhere           
ufw-reject-input  all  --  anywhere             anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ufw-before-logging-forward  all  --  anywhere             anywhere           
ufw-before-forward  all  --  anywhere             anywhere           
ufw-after-forward  all  --  anywhere             anywhere           
ufw-after-logging-forward  all  --  anywhere             anywhere           
ufw-reject-forward  all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ufw-before-logging-output  all  --  anywhere             anywhere           
ufw-before-output  all  --  anywhere             anywhere           
ufw-after-output  all  --  anywhere             anywhere           
ufw-after-logging-output  all  --  anywhere             anywhere           
ufw-reject-output  all  --  anywhere             anywhere           

Chain ufw-after-forward (1 references)
target     prot opt source               destination         

Chain ufw-after-input (1 references)
target     prot opt source               destination         

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination         

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination         

Chain ufw-after-logging-output (1 references)
target     prot opt source               destination         

Chain ufw-after-output (1 references)
target     prot opt source               destination         

Chain ufw-before-forward (1 references)
target     prot opt source               destination         

Chain ufw-before-input (1 references)
target     prot opt source               destination         

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination         

Chain ufw-before-logging-input (1 references)
target     prot opt source               destination         

Chain ufw-before-logging-output (1 references)
target     prot opt source               destination         

Chain ufw-before-output (1 references)
target     prot opt source               destination         

Chain ufw-reject-forward (1 references)
target     prot opt source               destination         

Chain ufw-reject-input (1 references)
target     prot opt source               destination         

Chain ufw-reject-output (1 references)
target     prot opt source               destination       

[gdm]

Nopealla silmäyksellä kaikissa INPUT/FORWARD/OUTPUT säännöissä on
_{ufw-reject-input  all  --  anywhere             anywhere
ufw-reject-forward  all  --  anywhere             anywhere
ufw-reject-output  all  --  anywhere             anywhere}

Ja ei yhtään sallivaa sääntöä, niin eipä kait onnistu.
Eli ufw päälle ja säännön lisäys ja uudestaan kokeilu.

Toisaalta voin kyllä erehtyä (jos joku palomuureihin perehtynyt viitsii oikaista jos väärässä?)

[johnsmith]

Tästähän näyttää puuttuvan säännöt kokonaan..........
Esim. kaikki output paketit lähetetään eteenpäin seuraavan "ufw-before-logging-output" ketjuun mutta siellä ketjussa ei näytä olevaan mitään sääntöjä. Olettaisin, että siellä seuraavassa ketjussa on tarkoitus tehdä joku päätös koskien pakettia joko lähetetään seuraavan ketjuun tai poistetaan jne. Mutta ne ufw* ketjut ovat ilman mitään sääntöjä.

En tiedä mitään ufw skriptistä mutta ihan iptables tasolla en osaa sanoa mitä tapahtuu paketille joka lähetetään tyhjään ketjuun en viitsi nyt ihan ruveta kokeilemaan ainakaan tänään. Ilmeisesti kuitenkin päästetään kaikki paketit läpi ACCEPT politiikan mukaisesti. Näin ollen ytimessä ei ole mitään palomuurisääntöjä hetkellä ja ilmeisesti kaikki mahdolliset paketit liikkuu mihin haluaa ainakin tästä koneesta.

[JoniX]

No mikäköhän nyt mättää kun olen käyttänyt sudo ufw allow 587 ja sudo ufw disable komentoja joista kumpikaan ei tunnu vaikuttavan mitenkään? Pitäisikö konffata iptables itse jostain tiedostosta käsin?

[gdm]

No mikäköhän nyt mättää kun olen käyttänyt sudo ufw allow 587 ja sudo ufw disable komentoja joista kumpikaan ei tunnu vaikuttavan mitenkään? Pitäisikö konffata iptables itse jostain tiedostosta käsin?

No jos vaikka pyyhit kaikki säännöt iptablesista näin ensialkuun.

Koodia: [Valitse]

sudo iptables -Fmuistaakseni, saattoi vaatia että määritetään ketju

Koodia: [Valitse]

sudo iptables -F INPUTja tuota INPUT sitten vaihdetaan OUTPUT ja FORWARD.

Tarkista

Koodia: [Valitse]

taavikko@hp-dv5:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destinationtuollainen on oletusnäkymä, eli kaikki sallitaan.

Jos tuonkaan jälkeen ei paketti liiku, niin tarkista ohjelman asetuksista onko kaikki kunnossa.

[johnsmith]

iptables -F poistaa kaikki säännöt sisäänrakennetuista ketjuista
iptables -X poistaa kaikki ei sisäänrakennetut ketjut esim. "Chain ufw-after-input" tosiaan sillä ei ole enää merkitystä -F jälkeen kun ei ole enää linkkejä ketjuihin.

Kyllä voit itsekin lataa säännöt komentoriviltä tai tiedostosta mutta se edellyttää vähän perehtymistä asiaan sen takia onkin ne frontendit. Sitäpaitsi jos olen ymmärtänyt nyt oikein sun ei tarvitse avata porttia INPUT ketjussa van riittää dynaaminen sääntö:
iptables -A INPUT -p ALL -m state --state RELATED,ESTABLISHED -j ACCEPT
ja OUTPUT ketjussa sellainen:
iptables -A OUTPUT -p ALL  -j ACCEPT

Ja että olisi jotain hyötyäkin niin
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Näitä voi kokeilla suoraan komentokehotteesta.

[JoniX]

Koodia: [Valitse]

minä@kone:~$ sudo iptables -F
WARNING: All config files need .conf: /etc/modprobe.d/oss-compat, it will be ignored in a future release.
WARNING: All config files need .conf: /etc/modprobe.d/options, it will be ignored in a future release.
minä@kone:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
minä@kone:~$ sudo ufw status
Status: inactive

Kaikki portit ovat edelleenkin näkymättömiä.

[gdm]

Kaikki portit ovat edelleenkin näkymättömiä.

Ei sillä ole merkitystä, tarkista sähköpostiohjelman asetukset.

[JoniX]

Kyllä se thunderbird on asetettu käyttämään porttia 587 ja wiresharkin mukaan se sitä yrittääkin.

[Tha-Fox]

Minkäs palvelimen kautta yrität lähettää postia? Ainakaan Saunalahden smtp-palvelinta ei voinut käyttää kuin Saunalahden verkosta. Voisiko joku tuollainen olla esteenä?

[JoniX]

Gmailin SMTP palvelimen kautta yritän lähettää. Voihan se olla, että Sonera blokkii.

[Tha-Fox]

Itselläni ei ole ainakaan vielä tullut vastaan verkkoa, mistä ei olisi posti kulkenut Gmailin smtp-palvelimelle.

[910]

Gmailin SMTP palvelimen kautta yritän lähettää. Voihan se olla, että Sonera blokkii.

Yhdistä siihen palvelimeen esim. telnetillä seuraavasti:

Koodia: [Valitse]

telnet smtp.gmail.com 587

Jos saat palvelimelta jokinlaisen tervehdysviestin, homma toimii yhteyden osalta ja vika on jossain muualla. Jos taas tuloksena on aikakatkaisu, välissä on todennäköisesti palomuuri.

Elikä, suljin tuossa äsken juuri UFW:n ja ulkoa päin skannattuna kaikki TCP/UDP/mitkä lie portit ovat edelleen näkymättömiä

Kuten jo mainittiinkin, koneesi näkymättömyydellä internetiin päin ei sinänsä ole merkitystä. Sähköpostin lähetys on (hiukan yksinkertaistaen) omalta koneeltasi internetiin päin lähtevää liikennettä, kun taas nuo online-testit mittaavat koneellesi saapuvaa liikennettä.   

[JoniX]

Koodia: [Valitse]

minä@kone:~$ telnet smtp.gmail.com 587
Trying 74.125.79.111...
Connected to gmail-smtp-msa.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP 7sm3733325eyb.40
Tuollaista telnet sanoo. Eli onko hyvä vai huono uutinen?