Komme vom Internet nicht auf Port 25

Knappe · 6 Okt. 2005

Setze Suse 9.3 ein und möchte meinen Mailserver (Courier-Imap, Postfix) vom Internet aus direkt ansprechen können.

Habe das
-via dyndns-Domain und Telnet probiert und
1. habe Firewall ausgeschaltet --> Port gesperrt
2. habe Firewall eingeschaltet --> Port immer noch gesperrt.

Habe mehrere Netzwerkkarten - allesamt sind für die "externe Zone" konfiguriert".

Eigentlich dachte ich, wenn ich am Router den Port 25 freigebe und die richtige IP des Email-Servers eintrage und KEINE Firewall einschalte, dass sich dann Postfix via Telnet melden müßte.
Nix ist.

Habe schon im Forum nach Portfreigaben gesucht, bin fast erschlagen worden und komme trotzdem nicht weiter.

Vielleicht gibt es ja einen ganz einfachen Hinweis der mir weiterhelfen könnte ?

framp · 6 Okt. 2005

Ich vermute mal, dass Dein Router der LinuxRechner ist und der MailServer irgendwo dahinterhaengt. Wie hast Du denn definiert dass Dein MailServer alles was auf dem Router auf Port 25 ankommt erhalten soll?

iptables rules oder SuSEfirewall2 config?

Poste mal die Eintraege oder iptable rules.

Knappe · 6 Okt. 2005

Code:

Ich vermute mal, dass Dein Router der LinuxRechner ist und der MailServer irgendwo dahinterhaengt.

Nein: Internet --> Router / NAT-Tabelle --> Linux-Rechner(=Email-Server)

Im Router richtiges portforwarding eingestellt (25-->25). Habe es auch schon mit 22-->22 (ssh) probiert. Aber auch da reagiert der Linux-Server nicht.

Habe die komplette iptable (iptable -F) gelöscht UND Firewall abgeschaltet --> keine Änderung !

telnet localhost 25 --> sofort ist Postfix da
telnet xxx.dyndns.org 25 --> IP-Adresse von mir selbst (die öffentliche) wird angezeigt, lange kommt dann nichts und dann natürlich der timeout-

Meine Routing-Table :

Code:

192.168.xxx.0 None               255.255.255.0 eth0 
192.168.xxx.0 None               255.255.255.0 eth1 
192.168.xxx.0 None               255.255.255.0 eth2 
192.168.xxx.0 None               255.255.255.0 eth3 
169.254.0.0    None               255.255.0.0     eth0 
127.0.0.0        None               255.0.0.0          lo 
Default Route 192.168.xxx.1                          eth3

Inhalt von /etc/sysconfig/network/routes :

Code:

[default 192.168.xxx.1 - -]

Externe Portscanner sagen übrigens, das der Port 25 "gefiltert" ist, d.h. Port ist offen, aber kein Dienst/Service reagiert.
Deshalb schliesse ich eigentlich Fehler in der NAT vom Router (wie gesagt : AVM Fritz!Box) aus

framp · 6 Okt. 2005

Waere der Router ein Linux Rechner wuerde ich sagen trace mal mit tcpdump Dein dsl0 und Dein eth0. Geht aber leider nicht.

Da ist irgendwo der Wurm beim Router drin. Der forwarded nicht! Da musst Du mal beimRouter genauer nachsehen.

Knappe · 6 Okt. 2005

Code:

Der forwarded nicht

Doch .. er tut´s

In /var/log/messages kann ich sehen, das die Anfrage reinkommt und an die internen Devices (eth0 - eth3) nacheinander weitergeleitet wird. Keines reagiert.
Obwohl in der main.cf von Postfix die Option "inet-interfaces = all" eingetragen ist, meldet der sich nicht.

Bei telnet localhost 25 aber sehr wohl.

Da es sich noch nicht um ein Produktionssystem handelt, sind alle Devices in dem gleichem Subnetz. Aber selbst wenn ich die trenne - und nur ein Device bleibt übrig - ändert sich NICHTs.

framp · 6 Okt. 2005

Ok. Also muessen wir rauskriegen ob es an der FW oder Postfix liegt.

Lass doch mal tcpdump auf dem mailServer auf port 25 laufen. Kommt da was an?

Knappe · 6 Okt. 2005

Code:

Lass doch mal tcpdump auf dem mailServer auf port 25 laufen. Kommt da was an?

Ja, reichlich.

Es sieht so aus, als wenn für jede Anfrage von xx.dyndns.org eine DNS-Anfrage ins Internet gemacht wird.

Hier ein kleiner Auszug (MyHostName entspricht meinem Hostnamen ) :

Code:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:20:59.336215 IP BACKUPSERVER.netbios-dgm > 192.168.xxx.255.netbios-dgm: NBT U
DP PACKET(138)
22:20:59.374393 IP MyHostName.fujitsu-dtcns > 192.168.xxx.1.domain:  22115+ PT
R? 255.178.168.192.in-addr.arpa. (46)
22:20:59.421931 IP 192.168.xxx.1.domain > MyHostName.fujitsu-dtcns:  22115 NXD
omain 0/1/0 (123)
22:20:59.424432 IP MyHostName.fujitsu-dtcns > 192.168.xxx.1.domain:  50708+ PT
R? 28.178.168.192.in-addr.arpa. (45)
22:20:59.425739 IP 192.168.xxx.1.domain > MyHostName.fujitsu-dtcns:  50708* 1/
0/0 (98)
22:21:01.307383 IP papa.netbios-dgm > 192.168.xxx.255.netbios-dgm: NBT UDP PACKE
T(138)
22:21:04.374151 arp who-has 192.168.xxx.1 tell MyHostName
22:21:04.374622 arp reply 192.168.xxx.1 is-at 00:04:0e:72:0f:64
22:21:13.186241 IP MyHostName.fujitsu-dtcns > 192.168.xxx.1.domain:  21719+ AA
AA? e-schuett.dyndns.org. (38)
22:21:13.328811 IP 192.168.xxx.1.domain > MyHostName.fujitsu-dtcns:  21719 0/1
/0 (89)
22:21:13.330122 IP MyHostName.fujitsu-dtcns > 192.168.xxx.1.domain:  15366+[|d
omain]
22:21:13.375920 IP 192.168.xxx.1.domain > MyHostName.fujitsu-dtcns:  15366 0/1
/0 (108)
22:21:13.376971 IP MyHostName.fujitsu-dtcns > 192.168.xxx.1.domain:  57813+ A?
 e-schuett.dyndns.org. (38)
22:21:13.449211 IP 192.168.xxx.1.domain > MyHostName.fujitsu-dtcns:  57813 1/0
/0 A pD9530BD1.dip0.t-ipconnect.de (54)
22:21:13.452141 IP MyHostName.fujitsu-dtcns > 192.168.xxx.1.domain:  18517+ PT
R? 209.11.83.217.in-addr.arpa. (44)
22:21:13.523956 IP 192.168.xxx.1.domain > MyHostName.fujitsu-dtcns:  18517 1/0
/0 (87)
22:21:13.525009 IP MyHostName.8308 > pD9530BD1.dip0.t-ipconnect.de.smtp: S 912
48595:91248595(0) win 5840 <mss 1460,sackOK,timestamp 26724626 0,nop,wscale 2>
22:21:13.567637 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:13.570073 IP MyHostName.fujitsu-dtcns > 192.168.xxx.1.domain:  39278+ PT
R? 33.178.168.192.in-addr.arpa. (45)
22:21:13.622067 IP 192.168.xxx.1.domain > MyHostName.fujitsu-dtcns:  39278 NXD
omain 0/1/0 (122)
22:21:14.559545 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:15.559496 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:16.525633 IP MyHostName.8308 > pD9530BD1.dip0.t-ipconnect.de.smtp: S 912
48595:91248595(0) win 5840 <mss 1460,sackOK,timestamp 26727628 0,nop,wscale 2>
22:21:16.567688 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:17.559420 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:18.319307 arp who-has MyHostName tell 192.168.xxx.1
22:21:18.319376 arp reply MyHostName is-at 00:00:d1:1e:11:f2
22:21:18.559381 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:22.524811 IP MyHostName.8308 > pD9530BD1.dip0.t-ipconnect.de.smtp: S 912                                           48595:91248595(0) win 5840 <mss 1460,sackOK,timestamp 26733628 0,nop,wscale 2>
22:21:22.566863 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:23.559157 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:24.559117 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:29.993991 arp who-has atserix.lan tell ANTWERPENSERVER
22:21:29.997963 IP MyHostName.fujitsu-dtcns > 192.168.xxx.1.domain:  64639+ PT                                           R? 21.178.168.192.in-addr.arpa. (45)
22:21:30.000532 IP 192.168.xxx.1.domain > MyHostName.fujitsu-dtcns:  64639* 1/                                           0/0 (101)
22:21:34.523293 IP MyHostName.8308 > pD9530BD1.dip0.t-ipconnect.de.smtp: S 912                                           48595:91248595(0) win 5840 <mss 1460,sackOK,timestamp 26745628 0,nop,wscale 2>
22:21:34.565254 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:35.558665 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:36.558618 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:41.528013 IP MyHostName.fujitsu-dtcns > 192.168.xxx.1.domain:  4310+ PTR                                           ? 20.178.168.192.in-addr.arpa. (45)
22:21:41.530668 IP 192.168.xxx.1.domain > MyHostName.fujitsu-dtcns:  4310* 1/0                                           /0 (90)
22:21:50.490954 arp who-has 192.168.xxx.1 tell MyHostName
22:21:50.491431 arp reply 192.168.xxx.1 is-at 00:04:0e:72:0f:64
22:21:58.519992 IP MyHostName.8308 > pD9530BD1.dip0.t-ipconnect.de.smtp: S 91248595:91248595(0) win 5840 <mss 1460,sackOK,timestamp 26769628 0,nop,wscale 2>
22:21:58.562238 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:21:59.557625 arp who-has 192.168.xxx.33 tell 192.168.xxx.1
22:22:00.557583 arp who-has 192.168.xxx.33 tell 192.168.xxx.1

47 packets captured
47 packets received by filter
0 packets dropped by kernel

Also mein eigener DNS-Server ist deaktiviert - ebenso wie die Firewall.

In der main.cfg von Postfix ist
als "proxy-interface" die IP meines Routers eingetragen;
"mynetworks" hat "192.168.xxx.0/24, 127.0.0.0/8"

rolle · 6 Okt. 2005

In der main.cfg von Postfix ist
als "proxy-interface" die IP meines Routers eingetragen;
"mynetworks" hat "192.168.xxx.0/24, 127.0.0.0/8"

Ich kenn mich mit dem Programm zwar nicht aus, aber warum Proxy? Ich dachte, Du hast einen Router.

Knappe · 6 Okt. 2005

Code:

warum Proxy

Ist nicht der Proxy aus der "Netzwerktechnik", sondern

Code:

Zitat aus der Beschreibung von Postic:
# The proxy_interfaces parameter specifies the network interface
# addresses that this mail system receives mail on by way of a
# proxy or network address translation unit. This setting extends
# the address list specified with the inet_interfaces parameter.
#
# You must specify your proxy/NAT addresses when your system is a
# backup MX host for other domains, otherwise mail delivery loops
# will happen when the primary MX host is down.

Dient gleichzeitig zur Verhinderung, das mein Mail-Server aus dem Internet von Spammern als Relay benutzt wird.

framp · 6 Okt. 2005

Die FW bzw das Routing ist also OK. Dann liegt es am MailServer. Dann sollte der Thread eher zum MailForum rueber. Mein Latein ist damit am Ende :roll:

Breidy :wink:

Knappe · 6 Okt. 2005

Code:

Die FW bzw das Routing ist also OK. Dann liegt es am MailServer. Dann sollte der Thread eher zum MailForum rueber. Mein Latein ist damit am Ende

Die Grundidee -diesen Thread zu verschieben- ist schon richtig, aber dort gibt es schon einen --> nämlich hier.

Aber wenn man den dortigen Titel betrachtet, kann keine Assoziation mehr erfolgen.

Durch den o.g. Link können sich andere Member auch so ein "Bild" machen.

Aber zur Problemlösung :
Wie ich schon am Anfag dieses Threads beschrieben habe, setze ich mehrere Netzwerkkarten als devices ein.

Alle sind im gleichen Subnetz definiert gewesen (192.168.xxx.51 bis 192.168.xxx.54).

Die Folge war wohl (ganz geklärt ist das noch nicht !), das eingehende Anfragen von eth0 bis eth3 ständig hin und her geroutet wurden.

Obwohl mit meiner Postifx-Konfiguration "main.cf" mit der Angabe "inet-interfaces = all" eigentlich alle Devices von Postfix hätten abgefragt werden müssen, war das genau nicht der Fall.

Woran das liegt ist noch nicht geklärt.

Nachdem ich nun - bis auf EIN Device - ALLE Anderen neuen Subnetzen zugeordnet habe, läuft alles (IPtable wurde vorsichtshalber auch gelöscht). Ein Routing-Problem wird somit natürlich umgangen.

Daraus folgt :
Mehrere Netzwerkkarten im gleichen Subnetz in Verbindung mit Postfix kann zu Routing-Problemen führen.

Hinweis:
Das ist KEIN Problem einer Firewall, denn diese war bei mir die ganze Zeit über ausgeschaltet !

Komme vom Internet nicht auf Port 25

Knappe

Hacker

framp

Moderator

Knappe

Hacker

framp

Moderator

Knappe

Hacker

framp

Moderator

Knappe

Hacker

rolle

Guru

Knappe

Hacker

framp

Moderator

Knappe

Hacker