Я арендовал у хостинговой компании выделенную, легко управляемую приставку CentOS7. Хозяин пришел с Firewalld установлен и запущен и с его iptables предварительные предпочтения.
Я этого не ожидал; Я привык получать незащищенные боксы, на которых не работают никакие службы, кроме тех, которые я включаю. Я мало знаю о Firewalld и iptables и я изо всех сил пытаюсь получить хотя бы базовый внешний почтовый трафик через порт 25 и в постфиксочередь. Я считаю, что меня блокирует брандмауэр, потому что:
Все мои записи DNS настроены правильно. Они не изменились годами; все, что мне нужно было сделать, это обновить IP-адреса для размещения этого нового хоста.
netstat -ln подтверждает, что порт прослушивает; Я могу telnet localhost 25 и даже вести переговоры EHLOи т.д. просто отлично
Мой постфикс конфигурация, вероятно, верна, но также не имеет значения. Я не тестирую такие функции, как псевдонимы или виртуальные домены: я просто отправляю реальный локальный пользователь @ postfix- $ mydestination-entry. И когда я отправляю сообщение с localhost, оно доставляется нормально.
Я увеличил многословие постфикса qmgr daemon, и независимо от того, сколько почты я отправляю извне, в его журналах никогда не указывается, что какие-либо сообщения поступают в очередь. Все, что он сообщает, - это каждые 5 минут просыпаться для выполнения каких-то рутинных действий.
Соответствующая зона Firewalld выглядело так, когда я получил машинку:
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: http ssh https
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Теперь мне удалось сделать так, чтобы это выглядело так (все скрытые линии остались прежними):
public
target: default
services: http ssh https smtp
ports: 25/tcp
(Я внес изменения --permanent и --reloadред после каждого.)
К сожалению, я все еще не могу telnet host 25 из удаленных мест и удаленная почта все еще не достигает моего постфикс очередь. Есть мысли о том, что мне не хватает?
P.S. Заметь http находится в том же Firewalld зона, и я смог telnet host 80 и подключайтесь через веб-браузер с первого дня.
P.P.S. Я избегал публиковать что-либо о iptables вывод здесь, потому что я фактически не знаю, какие части из этого имеют отношение. Я надеюсь, что кто-то сможет понять мою проблему без этой информации, но если нет, то я определенно могу ее откопать ...
Поскольку это VPS, многие из них предварительно настраивают Postfix для прослушивания только 127.0.0.1:25, а не 0.0.0.0:25, что предотвратит внешний доступ к порту SMTP - проверка inet_interfaces в вашем main.cf была бы логичной. первый шаг.
Вы сказали, что использовали netstat, чтобы убедиться, что процесс слушает, возможно, двойная проверка того, что он действительно привязан ко всем интерфейсам, покажет, а не просто 127.0.0.1:25.