Есть хост виртуального бокса (1.1.1.5) и маршрутизируемый гость (1.1.1.6). Что-то перенаправляет любой трафик на порт 25 с гостем, будь то входящий или исходящий, на порт 2525 1.1.1.5, и я не могу узнать какой.
Конечно, для этого поста были изменены IPS и Mac.
У меня следующая установка:
Настройка работает безупречно - я могу проверить связь с почтовым сервером на 1.1.1.6 и получить доступ к его веб-интерфейсу и т. Д., Почтовый сервер может подключиться к Интернету, все в порядке, ЗА ИСКЛЮЧЕНИЕМ этого одного порта: попытка связаться с почтовым сервером через порт 25 не работает.
Речь идет не о блокировке 25-го порта интернет-провайдером или что-то в этом роде, это более сложно. Читай дальше :)
Когда я пытаюсь подключиться по telnet с другого сервера:
telnet 1.1.1.6 25
время ожидания соединения истекает. В системном журнале хост-системы (1.1.1.5) появляется следующее сообщение из таблиц ip:
[UFW BLOCK] IN=eth0 OUT= MAC=c8:c8:c8:c8:c8:c8:c8:fe:3d:46:e6:0f:08:00 SRC=2.2.2.5 DST=1.1.1.5 LEN=64 TOS=0x00 PREC=0x00 TTL=55 ID=45855 DF PROTO=TCP SPT=64059 DPT=2525 WINDOW=65535 RES=0x00 SYN URGP=0
Существует один важная вещь на заметку: я пытался подключиться к 1.1.1.6 в порту 25, но блок iptables происходит на 1.1.1.5 в порту 2525
Когда я подключаюсь к гостевому почтовому серверу по SSH, а затем телнет на другой сервер:
telnet 9.9.9.5 25
время ожидания соединения также истечет. Обратите внимание, что все остальные порты или соединения работают. В журнале хост-системы появляются следующие дикие сообщения:
[UFW BLOCK] IN=virbr1 OUT= MAC=aa:aa:ab:ac:ad:af:af:ag:ag SRC=1.1.1.6 DST=1.1.1.5 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=3529 DF PROTO=TCP SPT=45250 DPT=2525 WINDOW=14600 RES=0x00 SYN URGP=0
Важно отметить: DST должно быть 9.9.9.5, но это IP-адрес хост-серверов. Ожидается, что DPT будет 25, но это 2525.
Похоже, что что-то в хост-системе 1.1.1.5 перенаправляет любой проходящий через порт 25 трафик на себя через порт 2525.
Я пробовал следующие способы найти причину такого поведения:
netstat -lnp на хосте ничего не показывает привязанный к порту 25 или 2525/etc/ufw, особенно before.rules, ничего не содержат о порте 25 кроме необходимого -A ufw-before-forward -i eth0 -d 1.1.1.6 -p tcp --dport 25 -j ACCEPTiptables -L -n | grep "25" показывает только указанное выше правило в прямой цепочкеufw logging high, системный журнал не содержит ничего до упомянутых выше блочных сообщений, которые относятся к рассматриваемым пакетамufw disable не меняет проблемыegrep -R "2525" /etc ничего не возвращает.Так что теперь я ничего не понимаю. Как мне продолжить диагностику этой проблемы? В чем может быть причина?
Решение было довольно простым: я не знал, что iptables -L -n не показывает все правила, но вы должны указать iptables -t nat -L чтобы показать таблицу предварительной маршрутизации. Он содержал перенаправление для порта 2525. Не знаю, откуда он, но его удаление решило проблему.
Итак, дети: если вы когда-нибудь попытаетесь диагностировать проблемы с маршрутизацией iptables, имейте в виду, что существует более одной таблицы, и проверьте таблицу nat.
Кроме того, извините за довольно бесполезный вопрос.