Прикрыт 25-ый порт на внешнем интерфейсе?

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Прикрыт 25-ый порт на внешнем интерфейсе?

Непрочитанное сообщение proxy-man » 2007-06-20 9:58:54

Привет коллеги... Стоит в одной конторе шлюз (FreeBSD 6.2), используется он также в качестве smtp-релея - по сути необходим только для отправки почты, так как входящая почта приходит на другой домен, а домен который непосредственно "висит" на шлюзе использую только для собственных задач. И вот как-то случайно заметил, что входящая почта на сам шлюз не идет :shock: . Давай проверять все сразу:
- проверил SMTP (postfix) - стандартный конфиг без заморочек, 25-ый порт открыт на все интерфейсах

Код: Выделить всё

sockstat|grep 25                                                      
root     master     27339 11 tcp4   *:25                  *:*
но достучаться можно только на localhost и на интерфейс, который обслуживает ЛВС. Пытаюсь telnet-ом подключиться на внешний IP-адрес, на 25-ый порт - получаю вот такой вот ответ:

Код: Выделить всё

telnet XX.XX.XX.XX 25                                 
Trying XX.XX.XX.XX...
telnet: connect to address XX.XX.XX.XX: Operation timed out
telnet: Unable to connect to remote host
Фаерволлом разрешен 25-ый порт на внешнем интерфейсе, правило такое

Код: Выделить всё

01200 allow ip from any to xx.xx.xx.xx dst-port 25 via tun0
01300 allow ip from 192.168.1.0/24 to 192.168.1.1 dst-port 25 via nve0

... И еще когда просканировал хост nmap-ом, то я не увидел 25-го порта:

Код: Выделить всё

PORT     STATE  SERVICE    VERSION
20/tcp   closed ftp-data
21/tcp   open   ftp        WU-FTPD 6.00LS
22/tcp   open   ssh        OpenSSH 4.5p1 (FreeBSD 20061110; protocol 2.0)
53/tcp   open   domain
80/tcp   open   http       Apache httpd 2.2.4 ((FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.8e DAV/2 PHP/5.2.2 with Suhosin-Patch)
110/tcp  open   pop3       Courier pop3d
123/tcp  closed ntp
143/tcp  open   imap       Courier Imapd (released 2005)
953/tcp  closed rndc
1723/tcp open   pptp?
5000/tcp open   vtun       Vtun Virtual Tunnel 3.X 02/28/2007
5432/tcp closed postgres
8080/tcp closed http-proxy
Может быть провайдер прикрыл каким-то образом? Куда копать?
Have trouble with Windows - reboot,
Have trouble with Unix - be root!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Непрочитанное сообщение abanamat » 2007-06-20 10:37:27

провайдеру всегда можно позвонить. Вот мы прикрыли полгода назад, так до сих пор звонят изумленные клиенты которые внезапно обнаружили, что 25 порт прикрыт :))))

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2007-06-20 11:32:57

abanamat писал(а):провайдеру всегда можно позвонить. Вот мы прикрыли полгода назад, так до сих пор звонят изумленные клиенты которые внезапно обнаружили, что 25 порт прикрыт :))))
Хм - а какого перца прикрывают?
Have trouble with Windows - reboot,
Have trouble with Unix - be root!

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Непрочитанное сообщение abanamat » 2007-06-20 16:43:14

proxy-man писал(а):
abanamat писал(а):провайдеру всегда можно позвонить. Вот мы прикрыли полгода назад, так до сих пор звонят изумленные клиенты которые внезапно обнаружили, что 25 порт прикрыт :))))
Хм - а какого перца прикрывают?
Потому что сами себя клиенты в большинстве случаев (процентов 90) контролировать не могут, не хотят, им по барабану, они в этом не разбираются и т.п.
До прикрытия спам рассылался тоннами гигов в сутки. Одна тачка с трояном за ночь генерила около гигабайта спама на 60-100 тыщ уникальных хостов. Разговоры не помогали. Наши сетки банили каждый день в разных местах прямо по маске /24. Потом прикрыли, всех запустили через релэй - и теперь живем в мире со всеми. Клиенты с MX домена - открыты конечно.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2007-06-20 20:50:28

abanamat писал(а):
proxy-man писал(а):
abanamat писал(а):провайдеру всегда можно позвонить. Вот мы прикрыли полгода назад, так до сих пор звонят изумленные клиенты которые внезапно обнаружили, что 25 порт прикрыт :))))
Хм - а какого перца прикрывают?
Потому что сами себя клиенты в большинстве случаев (процентов 90) контролировать не могут, не хотят, им по барабану, они в этом не разбираются и т.п.
До прикрытия спам рассылался тоннами гигов в сутки. Одна тачка с трояном за ночь генерила около гигабайта спама на 60-100 тыщ уникальных хостов. Разговоры не помогали. Наши сетки банили каждый день в разных местах прямо по маске /24. Потом прикрыли, всех запустили через релэй - и теперь живем в мире со всеми. Клиенты с MX домена - открыты конечно.
ммм... батенька, речь идет не про исходящую почту (она нормально изначально работала и работает без проблем) - прикрыли (если это так), входящую почту на сам внешний АйПи хоста и домен, который закреплен за этим АйПи-адресом. Нафега, спрашивается, закрывать входящую почту? В этом случае, как объяснить действия провайдера? Если честно - не понятно :?
Have trouble with Windows - reboot,
Have trouble with Unix - be root!

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Непрочитанное сообщение abanamat » 2007-06-20 21:05:41

proxy-man писал(а):
abanamat писал(а):
proxy-man писал(а):
abanamat писал(а):провайдеру всегда можно позвонить. Вот мы прикрыли полгода назад, так до сих пор звонят изумленные клиенты которые внезапно обнаружили, что 25 порт прикрыт :))))
Хм - а какого перца прикрывают?
Потому что сами себя клиенты в большинстве случаев (процентов 90) контролировать не могут, не хотят, им по барабану, они в этом не разбираются и т.п.
До прикрытия спам рассылался тоннами гигов в сутки. Одна тачка с трояном за ночь генерила около гигабайта спама на 60-100 тыщ уникальных хостов. Разговоры не помогали. Наши сетки банили каждый день в разных местах прямо по маске /24. Потом прикрыли, всех запустили через релэй - и теперь живем в мире со всеми. Клиенты с MX домена - открыты конечно.
ммм... батенька, речь идет не про исходящую почту (она нормально изначально работала и работает без проблем) - прикрыли (если это так), входящую почту на сам внешний АйПи хоста и домен, который закреплен за этим АйПи-адресом. Нафега, спрашивается, закрывать входящую почту? В этом случае, как объяснить действия провайдера? Если честно - не понятно :?
эээ... сынком что-ли обозвать... речь идет про любые коммуникации через 25 порт. Что туда, что сюда - так проще на цысках acl ку было вешать. Я бы все-таки позвонил.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2007-06-20 21:23:00

abanamat писал(а):
proxy-man писал(а):
abanamat писал(а):
proxy-man писал(а):
abanamat писал(а):провайдеру всегда можно позвонить. Вот мы прикрыли полгода назад, так до сих пор звонят изумленные клиенты которые внезапно обнаружили, что 25 порт прикрыт :))))
Хм - а какого перца прикрывают?
Потому что сами себя клиенты в большинстве случаев (процентов 90) контролировать не могут, не хотят, им по барабану, они в этом не разбираются и т.п.
До прикрытия спам рассылался тоннами гигов в сутки. Одна тачка с трояном за ночь генерила около гигабайта спама на 60-100 тыщ уникальных хостов. Разговоры не помогали. Наши сетки банили каждый день в разных местах прямо по маске /24. Потом прикрыли, всех запустили через релэй - и теперь живем в мире со всеми. Клиенты с MX домена - открыты конечно.
ммм... батенька, речь идет не про исходящую почту (она нормально изначально работала и работает без проблем) - прикрыли (если это так), входящую почту на сам внешний АйПи хоста и домен, который закреплен за этим АйПи-адресом. Нафега, спрашивается, закрывать входящую почту? В этом случае, как объяснить действия провайдера? Если честно - не понятно :?
эээ... сынком что-ли обозвать... речь идет про любые коммуникации через 25 порт. Что туда, что сюда - так проще на цысках acl ку было вешать. Я бы все-таки позвонил.
А чем не нравится такое обращение, как батенька? ) Ничего плохого я под этим не подразумевал )) ... Звонил ясен-перец - но на телефонах сидят попки - мы ничего не знаем, перезагрузите свой виндавз и перезвоните вот по этому номеру. На этом номере - бонана, факс висит... приколисты мля - написал письмецо постмастеру, может прояснит ситуацию. Но все-таки странно как-выходит - исходящая почта, как раз и есть самый проблемный траффик, зачем входящую закрывать. Какой в этом резон?
Have trouble with Windows - reboot,
Have trouble with Unix - be root!

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Непрочитанное сообщение abanamat » 2007-06-20 21:42:27

какой резон - я только что ответил выше. Простота - залог здоровья.
На тачке куда ломиться, запускаешь tcpdump -npi сетевуха port 25
на тачке откуда ломиться, телнетешься туда, куда ломиться на 25 порт.
На тачке куда ломиться смотришь результат.
Если результат отрицательный - звони прову и зови "технического специалиста"
Попки будут препираться, требуй имя, прямой телефон для связи, номер заявки и время, в течение которого заявка будет отработана.
Есть проблема - надо решать, а не фантазировать.

Аватара пользователя
proxy-man
лейтенант
Сообщения: 692
Зарегистрирован: 2006-04-05 12:06:13
Откуда: Odessa
Контактная информация:

Непрочитанное сообщение proxy-man » 2007-06-20 23:00:10

abanamat писал(а):какой резон - я только что ответил выше. Простота - залог здоровья.
На тачке куда ломиться, запускаешь tcpdump -npi сетевуха port 25
на тачке откуда ломиться, телнетешься туда, куда ломиться на 25 порт.
На тачке куда ломиться смотришь результат.
Если результат отрицательный - звони прову и зови "технического специалиста"
Попки будут препираться, требуй имя, прямой телефон для связи, номер заявки и время, в течение которого заявка будет отработана.
Есть проблема - надо решать, а не фантазировать.
никаких фантазий нет - все чистая практика... утром буду выяснять - нафега закрыли... но блять просто любопытство распирает - если бы прикрыли, то прикрыли бы траффик по 25-ому порту в обе стороны...
Have trouble with Windows - reboot,
Have trouble with Unix - be root!

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Непрочитанное сообщение abanamat » 2007-06-21 0:56:00

proxy-man писал(а):сли бы прикрыли, то прикрыли бы траффик по 25-ому порту в обе стороны...
а это уже частный случай - что у прова на уме, знает только пров.