nach Firewall start kein Ping nach draußen

Message

Nappio · #1 Post by **Nappio** » 12. Oct 2005 16:06

hallo,

nach langem Kampf habeich meine Susefirewall mit suse 9.3 gestartet. Als Ausnahmen sind ssh,httpd,pop3 und smtp definiert. Klappt auch alles ganz gut. Aber nachdem ich die FW gestartet habe, habe ich kein Zugang mehr nach draußen, also "ping domain" oder " ping IP" geht nicht mehr. Wer kann helfen, danke.

Übrigens: Das Susefirewallscript ist im Originalzustand, außer den entsprechenden Diensten, die wurden angepasst. Das Einloggen über ssh funktioniert, ebenso das Abrufen von empfanen Mails über meinen mail Client.

Wer kann helfen, danke.

#2 Post by **Lateralus** » 12. Oct 2005 16:11

Wie's aussieht, werden ICMP-Pakete gefiltert. Die anderen Rechner sollten dennoch erreichbar sein. Versuche, eine TCP-Anfrage zu stellen, diese sollte beantwortet werden (z.b. mit nmap:).

Code: Select all

nmap -P0 -p '80' &#91;IP&#93;

Wenn du willst, dass du Pingen kannst, dann darf ICMP nicht gefiltert werden.

nappio · #3 Post by **nappio** » 12. Oct 2005 16:30

vielen Dank. Das ist die Antwort:
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-10-12 17:23 CEST
Interesting ports on XXX:
PORT STATE SERVICE
80/tcp open http

Allerdings ist ja nicht das problem, daß ich den Firewall-Rechner nicht anpingen kann, sondern ich kann nicht mehr rauspingen, nachdem ich mich per SSH eingeloggt habe. Der Ping an sich wäre auch gar nicht soooo wichtig. Ich glaube aber, daß er gar keine Pakete rausläßt, so ist z.B. auch kein 'mail -s test test@myemail.de' möglich. Diese Mail Funktion brauche ich aber ganz dringend, deswegen sehen die anderen Ports auch so aus:
nmap IP:

(The 117 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3

#4 Post by **Lateralus** » 12. Oct 2005 16:39

Da, wo ein Port offen ist, kommen auch Pakete durch. Allerdings kann es sein, dass dein Mail-Kommando versucht SMTPS zu benutzen, welches auf Port 465 läuft. Ähnlich POP3S: 995.

nappio · #5 Post by **nappio** » 12. Oct 2005 16:53

nein, das hat auch keine änderung gebracht. Gibt es denn irgendwo ein Log-File, wo ic h sehen kann, welche Pakete reinkommen, rausgehen, und welche gefiltert werden.

Alex.MH · #6 Post by **Alex.MH** » 12. Oct 2005 19:51

nach langem Kampf habeich meine Susefirewall mit suse 9.3 gestartet. Als Ausnahmen sind ssh,httpd,pop3 und smtp definiert. Klappt auch alles ganz gut.

Soweit ich weiss beziehen sich diese Ausnahmen aber auf deinen lokalen Rechner und nicht auf die Anfragen nach draussen. Wenn du also keinen Webserver, POP3 oder SMTP Server faehrst, dann kannst du das alles zumachen.

Allerdings ist ja nicht das problem, daß ich den Firewall-Rechner nicht anpingen kann, sondern ich kann nicht mehr rauspingen, nachdem ich mich per SSH eingeloggt habe. Der Ping an sich wäre auch gar nicht soooo wichtig. Ich glaube aber, daß er gar keine Pakete rausläßt, so ist z.B. auch kein 'mail -s test test@myemail.de' möglich. Diese Mail Funktion brauche ich aber ganz dringend, deswegen sehen die anderen Ports auch so aus:

Ob Pakete nach draussen gehen kannst du ganz leicht mit telnet testen. Um z.B. zu testen ob du einen bestimmten mailserver im Internet erreichen kannst, gibst du folgendes ein:

telnet mail.server.de 25

Der Server sollte sich dann mit "220 mail.server.de" melden. Du kannst dann einfach "quit" eingeben oder die Mail per Hand absenden. Ich glaube allerdings, dass nicht die Firewall dich blockt, sondern der Mailserver (Stichwort: Sender Policy Framework). Probier doch einfach mal die Mail per Hand abzusenden:

telnet mail.xxxxxx.xx 25
Connected to mail.xxxxxx.xx.
Escape character is '^]'.
220 mail.xxxxxx.xx ESMTP Postfix
helo test
250 mail.xxxxx.xx
mail from: absender@adresse.de
250 Ok
rcpt to: empfaenger@adresse.de
250 Ok
data
354 End data with <CR><LF>.<CR><LF>
Subject: Test123

Nach einer Leerzeile kommt der Body.
.
250 Ok: queued as 9D7FEA6C6A
quit
221 Bye

Die Zeilen mit den Zahlen davor sind immer die Antworten des Mailservers.
Da ich mir nicht vorstellen kann, dass die Standard-SuSE-Firewall so wichtige Dienste wie SMTP blockt, vermute ich mal, dass du vom Mailserver geblockt wirst. (SPF)

Gruss,
Alex

nappio · #7 Post by **nappio** » 13. Oct 2005 8:54

Danke, ich glaube, wir nähern uns einer Lösung:

telnet rootserver 25
Trying XX.XX.XX.XX...
Connected to rootserver
Escape character is '^]'.
220 rootserver ESMTP Postfix
helo test
250 rootserver
mail from: info@test.de
250 Ok
rcpt to: my@email.de
554 my@email.de Relay access denied

hingegen:
rctp to:user@rootserver

klappt...

Alex.MH · #8 Post by **Alex.MH** » 13. Oct 2005 14:58

rcpt to: my@email.de
554 my@email.de Relay access denied

Da haben wir es ja schon. Der Mailserver blockt deine Mail, weil er nicht zustaendig ist fuer die Adresse an die du senden moechtest.

Das Problem ist folgendes:
Da man ja nicht moechte, dass Spammer den eigenen Mailserver missbrauchen um ihren Muell abzusetzen, nehmen Mailserver (von aussen) prinzipiell nur die Mails an, fuer die sie auch zustaendig sind. Anders verhaelt sich das, fuer die eigenen User, die natuerlich nach draussen schicken duerfen. In diesem Fall kennt der Mailserver den IP-Adressbereich fuer den er relayed.
Du musst also entweder deine Mail aus einem IP-Adressbereich absetzen, fuer den der Server relayed (also Mails nach aussen hin zulaesst) oder aber die Mail direkt bei dem Mailserver zustellen, der fuer die Empfaengeradresse zustaendig ist.

Gruss,
Alex

nappio · #9 Post by **nappio** » 13. Oct 2005 16:54

Danke, aber wie teile ich dem jetzt mit, daß er z.B. ab sofort für info@test.de zuständig ist?

Alex.MH · #10 Post by **Alex.MH** » 13. Oct 2005 17:05

http://www.postfix.org/SMTPD_ACCESS_README.html

Wenn du Probleme hast, dann meld dich einfach nochmal.

Gruss,
Alex