Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 19. Nov 2018 20:49

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 10 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 12. Okt 2005 16:06 
hallo,

nach langem Kampf habeich meine Susefirewall mit suse 9.3 gestartet. Als Ausnahmen sind ssh,httpd,pop3 und smtp definiert. Klappt auch alles ganz gut. Aber nachdem ich die FW gestartet habe, habe ich kein Zugang mehr nach draußen, also "ping domain" oder " ping IP" geht nicht mehr. Wer kann helfen, danke.

Übrigens: Das Susefirewallscript ist im Originalzustand, außer den entsprechenden Diensten, die wurden angepasst. Das Einloggen über ssh funktioniert, ebenso das Abrufen von empfanen Mails über meinen mail Client.

Wer kann helfen, danke.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 12. Okt 2005 16:11 
Offline
prolinux-forum-admin
Benutzeravatar

Registriert: 05. Mai 2004 7:35
Beiträge: 1238
Wie's aussieht, werden ICMP-Pakete gefiltert. Die anderen Rechner sollten dennoch erreichbar sein. Versuche, eine TCP-Anfrage zu stellen, diese sollte beantwortet werden (z.b. mit nmap:).
Code:
nmap -P0 -p '80' [IP]
Wenn du willst, dass du Pingen kannst, dann darf ICMP nicht gefiltert werden.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 12. Okt 2005 16:30 
vielen Dank. Das ist die Antwort:
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-10-12 17:23 CEST
Interesting ports on XXX:
PORT STATE SERVICE
80/tcp open http

Allerdings ist ja nicht das problem, daß ich den Firewall-Rechner nicht anpingen kann, sondern ich kann nicht mehr rauspingen, nachdem ich mich per SSH eingeloggt habe. Der Ping an sich wäre auch gar nicht soooo wichtig. Ich glaube aber, daß er gar keine Pakete rausläßt, so ist z.B. auch kein 'mail -s test test@myemail.de' möglich. Diese Mail Funktion brauche ich aber ganz dringend, deswegen sehen die anderen Ports auch so aus:
nmap IP:

(The 117 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 12. Okt 2005 16:39 
Offline
prolinux-forum-admin
Benutzeravatar

Registriert: 05. Mai 2004 7:35
Beiträge: 1238
Da, wo ein Port offen ist, kommen auch Pakete durch. Allerdings kann es sein, dass dein Mail-Kommando versucht SMTPS zu benutzen, welches auf Port 465 läuft. Ähnlich POP3S: 995.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 12. Okt 2005 16:53 
nein, das hat auch keine änderung gebracht. Gibt es denn irgendwo ein Log-File, wo ic h sehen kann, welche Pakete reinkommen, rausgehen, und welche gefiltert werden.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 12. Okt 2005 19:51 
Zitat:
nach langem Kampf habeich meine Susefirewall mit suse 9.3 gestartet. Als Ausnahmen sind ssh,httpd,pop3 und smtp definiert. Klappt auch alles ganz gut.
Soweit ich weiss beziehen sich diese Ausnahmen aber auf deinen lokalen Rechner und nicht auf die Anfragen nach draussen. Wenn du also keinen Webserver, POP3 oder SMTP Server faehrst, dann kannst du das alles zumachen.
Zitat:
Allerdings ist ja nicht das problem, daß ich den Firewall-Rechner nicht anpingen kann, sondern ich kann nicht mehr rauspingen, nachdem ich mich per SSH eingeloggt habe. Der Ping an sich wäre auch gar nicht soooo wichtig. Ich glaube aber, daß er gar keine Pakete rausläßt, so ist z.B. auch kein 'mail -s test test@myemail.de' möglich. Diese Mail Funktion brauche ich aber ganz dringend, deswegen sehen die anderen Ports auch so aus:
Ob Pakete nach draussen gehen kannst du ganz leicht mit telnet testen. Um z.B. zu testen ob du einen bestimmten mailserver im Internet erreichen kannst, gibst du folgendes ein:
Zitat:
telnet mail.server.de 25
Der Server sollte sich dann mit "220 mail.server.de" melden. Du kannst dann einfach "quit" eingeben oder die Mail per Hand absenden. Ich glaube allerdings, dass nicht die Firewall dich blockt, sondern der Mailserver (Stichwort: Sender Policy Framework). Probier doch einfach mal die Mail per Hand abzusenden:
Zitat:
telnet mail.xxxxxx.xx 25
Connected to mail.xxxxxx.xx.
Escape character is '^]'.
220 mail.xxxxxx.xx ESMTP Postfix
helo test
250 mail.xxxxx.xx
mail from: absender@adresse.de
250 Ok
rcpt to: empfaenger@adresse.de
250 Ok
data
354 End data with <CR><LF>.<CR><LF>
Subject: Test123

Nach einer Leerzeile kommt der Body.
.
250 Ok: queued as 9D7FEA6C6A
quit
221 Bye
Die Zeilen mit den Zahlen davor sind immer die Antworten des Mailservers.
Da ich mir nicht vorstellen kann, dass die Standard-SuSE-Firewall so wichtige Dienste wie SMTP blockt, vermute ich mal, dass du vom Mailserver geblockt wirst. (SPF)

Gruss,
Alex


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 13. Okt 2005 8:54 
Danke, ich glaube, wir nähern uns einer Lösung:

telnet rootserver 25
Trying XX.XX.XX.XX...
Connected to rootserver
Escape character is '^]'.
220 rootserver ESMTP Postfix
helo test
250 rootserver
mail from: info@test.de
250 Ok
rcpt to: my@email.de
554 my@email.de Relay access denied

hingegen:
rctp to:user@rootserver

klappt...


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 13. Okt 2005 14:58 
Zitat:
rcpt to: my@email.de
554 my@email.de Relay access denied
Da haben wir es ja schon. Der Mailserver blockt deine Mail, weil er nicht zustaendig ist fuer die Adresse an die du senden moechtest.

Das Problem ist folgendes:
Da man ja nicht moechte, dass Spammer den eigenen Mailserver missbrauchen um ihren Muell abzusetzen, nehmen Mailserver (von aussen) prinzipiell nur die Mails an, fuer die sie auch zustaendig sind. Anders verhaelt sich das, fuer die eigenen User, die natuerlich nach draussen schicken duerfen. In diesem Fall kennt der Mailserver den IP-Adressbereich fuer den er relayed.
Du musst also entweder deine Mail aus einem IP-Adressbereich absetzen, fuer den der Server relayed (also Mails nach aussen hin zulaesst) oder aber die Mail direkt bei dem Mailserver zustellen, der fuer die Empfaengeradresse zustaendig ist.

Gruss,
Alex


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 13. Okt 2005 16:54 
Danke, aber wie teile ich dem jetzt mit, daß er z.B. ab sofort für info@test.de zuständig ist?


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 13. Okt 2005 17:05 
http://www.postfix.org/SMTPD_ACCESS_README.html

Wenn du Probleme hast, dann meld dich einfach nochmal.

Gruss,
Alex


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 10 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de