Question

我已经设置iptables来删除传出连接。现在我允许新建的25号港口; 143成立; 587成立; 22成立; 993成立。我以为我的邮件服务器现在应该可以向其他服务器发送电子邮件（通过端口25），但事实并非如此。记录显示：

Jun 10 17:00:15 v22017044494447636 kernel: [ 5043.291133] iptables-dropped: IN= OUT=eth0 SRC=xxx.xx.xx.xxx DST=xxx.xxx.xx.x LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=612 DF PROTO=TCP SPT=59454 DPT=25 WINDOW=29200 RES=0x00 SYN URGP=0

为什么要尝试通过端口59454进行通话？或者我在这里遗漏了一些东西。

Iptables看起来像这样：

Chain INPUT (policy DROP 12 packets, 1085 bytes)
pkts bytes target     prot opt in     out     source               destination         
105 12132 fail2ban-ssh  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22
105 12132 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW,ESTABLISHED
  0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 ctstate NEW,ESTABLISHED
  0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:587 ctstate NEW,ESTABLISHED
  0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143 ctstate NEW,ESTABLISHED
 28  2536 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:993 ctstate NEW,ESTABLISHED
 70  5754 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 32 packets, 1852 bytes)
pkts bytes target     prot opt in     out     source               destination         
100 17582 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:22 ctstate ESTABLISHED
  0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:25 ctstate NEW,ESTABLISHED
  0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:587 ctstate ESTABLISHED
  0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:143 ctstate ESTABLISHED
 29  7138 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:993 ctstate ESTABLISHED
 70  5754 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           

Chain fail2ban-ssh (1 references)
pkts bytes target     prot opt in     out     source               destination         
105 12132 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

服务器在常规数据中心的vServer上运行。所以没有ISP防火墙AFAIK。尝试使用的端口后缀也在四处移动。我在日志中看到了几个不同的东西。

Answer 1

解决方案：

iptables中缺少一些规则：

INPUT:
 48  4089 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:25 ctstate ESTABLISHED
  0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:53 ctstate ESTABLISHED
126 31784 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate ESTABLISHED

OUTPUT:
 32  5651 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:25 ctstate ESTABLISHED
  0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53 ctstate NEW,ESTABLISHED
128  9131 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW,ESTABLISHED

奇怪的后缀端口

1 个答案: