Puncte:0

Iptables + telnet nu blochează porturile

drapel lr

Am un server Debian de pe care vreau să blochez toate porturile de intrare și de ieșire (în special toate porturile de e-mail de ieșire), cu excepția celor pe care le adaug în mod special în iptables. Configurația actuală pe care o am funcționează și pare suficient de restrictivă, dar când pornesc a telnet sesiune pentru a testa, de exemplu, portul 25 pentru smtp, pare să se conecteze fără probleme, deși nu am deschis în mod specific portul 25 ca port OUTPUT. Am observat că atunci când am spălat iptable-urile cu iptables -F, conexiunea este blocată, dar nici rezoluția DNS și traficul http nu funcționează. Ar putea fi important de menționat că rulez și Docker pe acest server, ceea ce înseamnă că Docker își menține propriile lanțuri iptables pe care nu le voi enumera în mod specific în această întrebare. Niciuna dintre regulile Docker nu are portul 25 în ele, dar poate Docker stabilește regulile generale prea libere?

Nu am găsit o modalitate ușoară de a încerca efectiv să trimit e-mail la portul smtp 25, dar am ghicit că stabilirea cu succes a unei sesiuni telnet ar permite, de asemenea, aceeași conexiune să fie utilizată pentru trimiterea de e-mail.

Poate cineva să mă îndrume în direcția corectă?

Ieșirea telnet:

$ telnet smtp-relay.gmail.com 25
Încercând 2a00:1450:4013:c03::1c...
Conectat la smtp-relay.gmail.com.
Caracterul de evacuare este „^]”.
220 smtp-relay.gmail.com ESMTP k6sm844273wms.37 - gsmtp

Lanțurile INPUT și OUTPUT ale actualelor mele iptables:

Lanț INPUT (politica DROP)
target prot opt ​​sursă destinație
DROP all -- oriunde oriunde src listă neagră set de potriviri
ACCEPT icmp -- 192.168.4.0/24 oriunde icmp echo-request
ACCEPT tcp -- 192.168.4.0/24 oriunde tcp dpt:ssh
ACCEPT tcp -- oriunde oriunde multiport dports http,https stare RELATED,STABLISHED
ACCEPT icmp -- oriunde oriunde icmp ecou-reply stare ESTABLISHED
ACCEPT tcp -- oriunde oriunde tcp spt:domain state RELATED,STABLISHED
ACCEPT udp -- oriunde oriunde udp spt:domain state RELATED,STABLISHED
ACCEPT tcp -- oriunde oriunde multiport sport http,https stare RELATED,STABLISHED

Lanț OUTPUT (politica DROP)
target prot opt ​​sursă destinație
ACCEPT udp -- oriunde oriunde udp dpt:domain
ACCEPT tcp -- oriunde oriunde tcp dpt:domain
ACCEPT icmp -- oriunde oriunde icmp echo-request
ACCEPT icmp -- oriunde 192.168.4.0/24 icmp echo-reply stare RELATED,STABLISHED
ACCEPT tcp -- oriunde 192.168.4.0/24 tcp spt:ssh stare RELATED,STABLISHED
ACCEPT tcp -- oriunde oriunde multiport dports http,https
Sem van den Broek avatar
drapel lr
Aș putea menționa că o comandă telnet către un server web cu altceva decât portul implicit 80 sau 443 (8000 de exemplu) este de asemenea blocată. Sunt cam pierdut aici
Puncte:2
drapel cn
$ telnet smtp-relay.gmail.com 25
Încercând 2a00:1450:4013:c03::1c...

Sistemul dvs. are IPv6 activat și se conectează la serverul de la distanță folosindu-l.

Afișați doar fragmente din firewall-ul IPv4, așa că bănuiesc că nu ați configurat corespunzător firewall-ul IPv6.

Sem van den Broek avatar
drapel lr
Deoarece ipv6 a fost lansat recent la adresa mea, acest lucru mi-a omis complet atenția. Mulțumesc, voi configura asta!

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.