Tham gia Đăng nhập
Điểm:0
Sem van den Broek avatar Server

Iptables + telnet không chặn cổng

lá cờ lr
Sem van den Broek

Tôi có một máy chủ Debian mà tôi muốn chặn tất cả các cổng đến và đi (đặc biệt là tất cả các cổng email đi), ngoại trừ những cổng mà tôi đặc biệt thêm vào trong iptables. Thiết lập hiện tại của tôi đang hoạt động và có vẻ đủ hạn chế, nhưng khi tôi khởi động điện thoại phiên để kiểm tra ví dụ cổng 25 cho smtp, nó dường như kết nối mà không gặp sự cố, mặc dù tôi không mở cụ thể cổng 25 làm cổng OUTPUT. Tôi nhận thấy rằng khi tôi xóa iptables bằng iptables -F, kết nối bị chặn nhưng sau đó phân giải DNS và lưu lượng truy cập http cũng không hoạt động. Điều quan trọng cần đề cập là tôi cũng chạy Docker trên máy chủ này, điều đó có nghĩa là Docker duy trì các chuỗi iptables của riêng nó mà tôi sẽ không liệt kê cụ thể trong câu hỏi này. Không có quy tắc Docker nào có cổng 25 trong đó, nhưng có lẽ Docker đặt các quy tắc chung quá lỏng lẻo?

Tôi chưa tìm thấy một cách dễ dàng nào để thực sự thử gửi email đến cổng smtp 25, nhưng tôi đoán rằng việc thiết lập thành công phiên telnet cũng sẽ cho phép sử dụng kết nối tương tự để gửi thư.

Có ai có thể chỉ cho tôi đi đúng hướng không?

Đầu ra telnet:

$ telnet smtp-relay.gmail.com 25
Đang thử 2a00:1450:4013:c03::1c...
Đã kết nối với smtp-relay.gmail.com.
Ký tự thoát là '^]'.
220 smtp-relay.gmail.com ESMTP k6sm844273wms.37 - gsmtp

Chuỗi INPUT và OUTPUT của iptables hiện tại của tôi:

Chuỗi INPUT (chính sách DROP)
đích prot opt ​​nguồn đích
DROP all -- mọi nơi mọi nơi trong danh sách đen được thiết lập phù hợp src
CHẤP NHẬN icmp -- 192.168.4.0/24 mọi nơi icmp echo-request
CHẤP NHẬN tcp -- 192.168.4.0/24 ở mọi nơi tcp dpt:ssh
CHẤP NHẬN tcp -- mọi nơi mọi nơi nhiều cổng dports http,https trạng thái LIÊN QUAN,THÀNH LẬP
CHẤP NHẬN icmp -- mọi nơi mọi nơi icmp echo-reply trạng thái ĐƯỢC THIẾT LẬP
CHẤP NHẬN tcp -- bất kỳ đâu tcp spt:trạng thái tên miền LIÊN QUAN,THÀNH LIÊN QUAN
CHẤP NHẬN udp -- mọi nơi mọi nơi udp spt:trạng thái tên miền LIÊN QUAN,THÀNH LIÊN QUAN
CHẤP NHẬN tcp -- mọi nơi mọi nơi thể thao đa cổng http,https trạng thái LIÊN QUAN,THÀNH LẬP

ĐẦU RA chuỗi (chính sách DROP)
đích prot opt ​​nguồn đích
CHẤP NHẬN udp -- mọi nơi mọi nơi udp dpt:domain
CHẤP NHẬN tcp -- mọi nơi mọi nơi tcp dpt:domain
CHẤP NHẬN icmp -- mọi nơi mọi nơi icmp echo-request
CHẤP NHẬN icmp -- bất kỳ đâu 192.168.4.0/24 icmp trạng thái phản hồi tiếng vang LIÊN QUAN, ĐÃ THÀNH LẬP
CHẤP NHẬN tcp -- bất cứ đâu 192.168.4.0/24 tcp spt:ssh state LIÊN QUAN, THÀNH LẬP
CHẤP NHẬN tcp -- mọi nơi mọi nơi đa cổng dports http,https
64
0 + 0
Sem van den Broek avatar
lá cờ lr
Sem van den Broek
Tôi có thể đề cập rằng lệnh telnet đến máy chủ web có thứ gì đó khác với cổng mặc định 80 hoặc 443 (ví dụ 8000) cũng bị chặn. Tôi bị lạc ở đây
0
Hồi đáp
Điểm:2
user9517 avatar Server
lá cờ cn
user9517 
$ telnet smtp-relay.gmail.com 25
Đang thử 2a00:1450:4013:c03::1c...

Hệ thống của bạn đã bật IPv6 và đang kết nối với máy chủ từ xa bằng cách sử dụng nó.

Bạn chỉ hiển thị các đoạn trích từ tường lửa IPv4 của mình, vì vậy tôi đoán bạn đã không định cấu hình tường lửa Ipv6 của mình một cách thích hợp.

0 + 0
Sem van den Broek avatar
lá cờ lr
Sem van den Broek
Vì ipv6 chỉ mới được triển khai gần đây tại địa chỉ của tôi, điều này hoàn toàn khiến tôi không chú ý. Cảm ơn tôi sẽ thiết lập điều này!
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.