Kirjoittaja Aihe: Ubuntu Server, Postfix ja mailin lähettäminen, firewall blockkaa ?  (Luettu 5552 kertaa)

HannuTapio

  • Käyttäjä
  • Viestejä: 1264
  • OpenJDK + JavaScript testailuu ja säätelyy.
    • Profiili
    • Hannun netti internet sotaisa aihe lautapelejä.
Hei,

Minulla on postfix ubuntu serversissä.

Minulla on iptables laitettu seuraavasti -

Koodia: [Valitse]
sudo iptables -F
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 43000 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2525 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2526 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 --source xxx.xxx.xxx.xxx -j ACCEPT
sudo iptables -A INPUT -j REJECT

Siinä on tuo portti 25 ja 2525 ja 2526, nämä ovat tietääkseni portit, joita postfix käyttää.

Mutta, email ei tule perille, ellen sammuta iptablesia, iptables -F.

Kuinka tuo pitäisi konfiguroida, tuo postfix firewallin kanssa, mikä portti on kyseessä ?

--
Suomalainen Linux netti lautapelejä indie .. ( Gimp, Inkscape, Netbeans, Audacity ) ..
Blogi - [ https://lautapelimestari.com ]
Pelisivut - [ https://lautapelisivusto.com | https://hannunsankarit.com | https://lautapelikenraalit.com ]
--


HannuTapio

  • Käyttäjä
  • Viestejä: 1264
  • OpenJDK + JavaScript testailuu ja säätelyy.
    • Profiili
    • Hannun netti internet sotaisa aihe lautapelejä.
Koodia: [Valitse]
sudo iptables -F
sudo iptables -A INPUT -p tcp  -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp  -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 79 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 465 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 587 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2525 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2526 -j ACCEPT

Laitoin nuo portit jotka tuossa linkissä löytyy, niin, accept tilaan, mutta, minulla ei email liiku palvelimesta pois, ellen kirjaa iptables -F.

Edit.
Pitääkö tuolla olla NEW, tuolla ESTABLISHED listalla ?

--
Suomalainen Linux netti lautapelejä indie .. ( Gimp, Inkscape, Netbeans, Audacity ) ..
Blogi - [ https://lautapelimestari.com ]
Pelisivut - [ https://lautapelisivusto.com | https://hannunsankarit.com | https://lautapelikenraalit.com ]
--

HannuTapio

  • Käyttäjä
  • Viestejä: 1264
  • OpenJDK + JavaScript testailuu ja säätelyy.
    • Profiili
    • Hannun netti internet sotaisa aihe lautapelejä.
Koodia: [Valitse]
sudo iptables -F
sudo iptables -A INPUT -p tcp  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 79 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 465 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 587 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2525 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2526 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 43000 -j ACCEPT

Minä laitoin tuon NEW kohdan tuonne, inputin state arvoihin, en kyllä itse tiedä mitä se tekee siellä, mutta, nyt sitten lähti toimimaan, vastaus löytyi googlaamalla, kiitos kuitenkin, tuntia tässä jo kuitenkin istuna.

Edit.
Poistin myös nuo 465 587 2525 2526 portit, pelkkä 25 riittää :)

Laitoin lautapelisivuston palvelimelle kaupallisen email scannerin. :)

--
« Viimeksi muokattu: 15.09.14 - klo:20.33 kirjoittanut JariTapio »
Suomalainen Linux netti lautapelejä indie .. ( Gimp, Inkscape, Netbeans, Audacity ) ..
Blogi - [ https://lautapelimestari.com ]
Pelisivut - [ https://lautapelisivusto.com | https://hannunsankarit.com | https://lautapelikenraalit.com ]
--

pata

  • Käyttäjä
  • Viestejä: 50
    • Profiili
Olisin varovainen tuon NEW kanssa; saattaa olla että sallit kaikki ulkoa tulevat tcp ja udp yhteydenotot.
Ehkä se ei ollut tarkoitus.
ESTABLISHED kai tarkoittaa yhteyttä jonka avasit itse. RELATED jotain em. kuuluvaa.
Portti 79 FINGER on mielenkiintoinen.

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Edellisen kommentin lisäksi pieni kysymys:  Onkohan tuota palomuuria muistettu testata ulkoa päin mitä se oikeasti päästää läpi ?  No, huoleni aihe on oikeastaan että palomuurista ei ole hyötyä mutta toistuvaa kiusaa ellei sitä ole tehty täydellä ymmärryksellä ja mielellään myös tarkastettu että se tekee mitä sen on ajateltu tekevän ellei tekijällä jo ole palomuurin säädöstä niin paljon kokemusta (=paljon) että osaa tulkita sääntöjä silmäämällä satavarmasti lopputuloksen.
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

HannuTapio

  • Käyttäjä
  • Viestejä: 1264
  • OpenJDK + JavaScript testailuu ja säätelyy.
    • Profiili
    • Hannun netti internet sotaisa aihe lautapelejä.
Koodia: [Valitse]
sudo iptables -F
sudo iptables -A INPUT -p tcp  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 43000 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 --source xxx.xxx.xxx.xxx -j ACCEPT
sudo iptables -A INPUT -p icmp --source proxy.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source proxy.p19.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source proxy.rbx.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source ping.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source xxx.xxx.xxx.249 -j ACCEPT
sudo iptables -A INPUT -p icmp --source xxx.xxx.xxx.250 -j ACCEPT
sudo iptables -A INPUT -p icmp --source xxx.xxx.xxx.251 -j ACCEPT
sudo iptables -A INPUT -j REJECT

Tommonen on lopullinen linja kuri, siellä tuolla yllä ekoissa viesteissä puuttui tuo "input -j reject", mutta nyt löytyy.

Minä olen valmis ottamaan neuvoja tuohon "sudo iptables -A INPUT -p tcp  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT " riviin.

Mitähän kaikkea se sitten neuvoo iptablesia tekemään. :)

--
« Viimeksi muokattu: 16.09.14 - klo:11.33 kirjoittanut JariTapio »
Suomalainen Linux netti lautapelejä indie .. ( Gimp, Inkscape, Netbeans, Audacity ) ..
Blogi - [ https://lautapelimestari.com ]
Pelisivut - [ https://lautapelisivusto.com | https://hannunsankarit.com | https://lautapelikenraalit.com ]
--

910

  • Käyttäjä
  • Viestejä: 96
    • Profiili
Koodia: [Valitse]
sudo iptables -F
sudo iptables -A INPUT -p tcp  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Tämähän näyttää toisaan ainakin ensi vilkaisulla siltä, että ensimmäinen rivi sujuvasti sallii (lähes) kaiken saapuvan TCP-liikenteen, joten tällä

siellä tuolla yllä ekoissa viesteissä puuttui tuo "input -j reject", mutta nyt löytyy.

ei taida olla juuri merkitystä.

Mainitsit, että olet lähettämässä postia tuolta palvelimelta (samalta, kuin miltä iptables-listaus on?) En nyt ihan heti hahmota, kuinka tuon NEW-staten lisääminen INPUTiin voisi vaikuttaa, enemmänkin pitäisi lisätä OUTPUT-chainiin sopiva sääntö, jos sitä nyt ylipäänsä on rajattu.

Tästä on muutenkin vähän hankala ottaa selvää pelkästään antamasi listauksen perusteella. Komennolla

Koodia: [Valitse]
iptables -L -v


saa kokonaisvaltaisemman listauksen juuri sillä hetkellä ajossa olevasta säännöstöstä.

HannuTapio

  • Käyttäjä
  • Viestejä: 1264
  • OpenJDK + JavaScript testailuu ja säätelyy.
    • Profiili
    • Hannun netti internet sotaisa aihe lautapelejä.
Input ja output,

Kyllä olet oikeassa, minäkin ihmettelin miksi tuo ylärivin nyt sitten lisättyäni, niin, posti kulkee, mutta, posti kulkee se on ihan riittävää minulle.

Mutta, kyllä tuo ESTABLISHED pitäisi olla se joka sallii mail lähettelyt, mutta ei ollut.

Mail lähetys pyyntö näet lähtee palvelimelta, kun minulla on output sallittuna, mail lähettelyt sitten pysähtyi aikaisemmin siihen kun tuo outputtiin lähetetty viesti alkaa palauttamaan tietoa palvelimeen inputin kautta, kun input ei ollutkaan auki, mutta, nämä ovat minun tietämykseni ulkopuolella olevia, guru asioita, minä vain käytän näitä ohjelmia.

En, tiedä itse mikä kohta sitten mahdollistaa tuon mail kulun.

--
Suomalainen Linux netti lautapelejä indie .. ( Gimp, Inkscape, Netbeans, Audacity ) ..
Blogi - [ https://lautapelimestari.com ]
Pelisivut - [ https://lautapelisivusto.com | https://hannunsankarit.com | https://lautapelikenraalit.com ]
--

pata

  • Käyttäjä
  • Viestejä: 50
    • Profiili

Kyllä olet oikeassa, minäkin ihmettelin miksi tuo ylärivin nyt sitten lisättyäni, niin, posti kulkee, mutta, posti kulkee se on ihan riittävää minulle.

En, tiedä itse mikä kohta sitten mahdollistaa tuon mail kulun.

--
Kuitenkin halusit ilmeisesti laittaa palomuurin mutta jos se nyt päästää kaikki läpi niin tilanne ei ole ihan hyvä.

Viimeksi lisätyillä muutoksilla palomuuri päästää sisään tcp ja udp kaikkiin portteihin. Ehkä alunperin olisi pitänyt avata jokin portti lisää. Voisi katsoa portit joita kuunnellaan:

netstat -lntu

Wiresharkilla voisi katsoa näkyykö jotain tulevan muuhun kuin porttiin 25.

http://www.siteground.com/tutorials/email/pop3-imap-smtp-ports.htm

HannuTapio

  • Käyttäjä
  • Viestejä: 1264
  • OpenJDK + JavaScript testailuu ja säätelyy.
    • Profiili
    • Hannun netti internet sotaisa aihe lautapelejä.
Koodia: [Valitse]
xxxx@vpsxxxxxx:~# netstat -lntu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN    
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN    
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN    
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN    
tcp        0      0 127.0.0.1:2525          0.0.0.0:*               LISTEN    
tcp        0      0 127.0.0.1:2526          0.0.0.0:*               LISTEN    
tcp6       0      0 ::1:53                  :::*                    LISTEN    
tcp6       0      0 :::22                   :::*                    LISTEN    
tcp6       0      0 :::25                   :::*                    LISTEN    
tcp6       0      0 ::1:953                 :::*                    LISTEN    
tcp6       0      0 ::1:2525                :::*                    LISTEN    
udp        0      0 127.0.0.1:53            0.0.0.0:*                          
udp6       0      0 ::1:53                  :::*    

Näyttää tuollaista, tuo 2525 ja 2526 löytyy tuolta, ja lisänä myös 953 ja 3306 näitä kahta jälkimmäistä, en sitten viime kerralla huomanna laittaa tuohon listaani.

Nuo 2525 ja 2526 ovat minun ymmärtääkseni tämä postfix ja siinä tuo minun email turvani.

Mutta, ne kuuntelevat local hostia vain ?

--
« Viimeksi muokattu: 17.09.14 - klo:02.19 kirjoittanut JariTapio »
Suomalainen Linux netti lautapelejä indie .. ( Gimp, Inkscape, Netbeans, Audacity ) ..
Blogi - [ https://lautapelimestari.com ]
Pelisivut - [ https://lautapelisivusto.com | https://hannunsankarit.com | https://lautapelikenraalit.com ]
--

HannuTapio

  • Käyttäjä
  • Viestejä: 1264
  • OpenJDK + JavaScript testailuu ja säätelyy.
    • Profiili
    • Hannun netti internet sotaisa aihe lautapelejä.
Koodia: [Valitse]
sudo iptables -F
sudo ip6tables -F

sleep 1

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 --source xxx.xxx.xxx.xxx -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2525 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 2526 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 43000 -j ACCEPT
sudo iptables -A INPUT -p icmp --source proxy.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source proxy.p19.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source proxy.rbx.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source ping.ovh.net -j ACCEPT
sudo iptables -A INPUT -p icmp --source xxx.xxx.xxx.249 -j ACCEPT
sudo iptables -A INPUT -p icmp --source xxx.xxx.xxx.250 -j ACCEPT
sudo iptables -A INPUT -p icmp --source xxx.xxx.xxx.251 -j ACCEPT
sudo iptables -A INPUT -j REJECT

Tämä nyt sitten taitaa toimia ihan jo ok.

En tällä hetkellä tiedä mitä vikaa tuossa olisi, se toimii.

:)

---
Suomalainen Linux netti lautapelejä indie .. ( Gimp, Inkscape, Netbeans, Audacity ) ..
Blogi - [ https://lautapelimestari.com ]
Pelisivut - [ https://lautapelisivusto.com | https://hannunsankarit.com | https://lautapelikenraalit.com ]
--