Postfix SSL Problem

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von tuxie, 15. Sep. 2014.

  1. tuxie

    tuxie Member

    Hallo alle zusammen,

    ich habe seit dem Wochenende ein Problem. Am Freitag war mein Server nicht erreichbar, ich vermute zu großer Zugriff, habe ihn dann in denn Recovery Modus versetzt und alles in Ordnung gebracht. Wieder hochgefahren und läuft auch seit dem wieder soweit Sauber.

    Heute morgen stelle ich fest das ich keine Verbindung zum Postfix Port 465 SSL bekomme. Port 25 ohne SSL funktioniert einwandfrei. Ich dachte ok liegt eventuell an der Firewall aber auch nach dem Stopp der Firewall gab es keine Änderungen.

    netstat zeigt mir einen Listener auf Port 465 and und auch nmap local zeigt ihn an. Wenn ich aber nmap von woanders laufen lasse bekomme ist der port angeblich nicht offen. Ich habe jetzt beim Rechenzentrum angefragt ob es dahin ein Problem gibt aber das wurde verneint. Ich bin echt ratlos woran es liegen kann, es gibt keinen Hinweis in denn Logdateien das irgendwas nicht stimmt.

    Hat irgendwer eine Idee wo ich noch nachsehen könnte woran es liegen könnte?

    Besten dank im Vorraus

    tuxie
     
  2. Till

    Till Administrator

    Welche Fehler stehen denn im mail.log? Und poste mal die Ausgabe von:

    iptables -L
     
  3. tuxie

    tuxie Member

    Habe leider keine Fehler in der Logdatei, im Anhang der Auszug von iptables

    Code:
     iptables -L
    Chain INPUT (policy DROP)
    target     prot opt source               destination
    fail2ban-courierauth  tcp  --  anywhere             anywhere            multiport dports imap2,imap3,imaps,pop3,pop3s
    fail2ban-sasl  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
    fail2ban-postfix  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp
    fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh
    fail2ban-ssh-ddos  tcp  --  anywhere             anywhere            multiport dports ssh
    DROP       tcp  --  anywhere             loopback/8
    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
    ACCEPT     all  --  anywhere             anywhere
    DROP       all  --  base-address.mcast.net/4  anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssmtp
    DROP       all  --  pcai056.informatik.uni-leipzig.de  anywhere
    
    Chain FORWARD (policy DROP)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
    DROP       all  --  anywhere             anywhere
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    
    Chain INT_IN (0 references)
    target     prot opt source               destination
    ACCEPT     icmp --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
    
    Chain INT_OUT (0 references)
    target     prot opt source               destination
    ACCEPT     icmp --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere
    
    Chain PAROLE (17 references)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere
    
    Chain PUB_IN (5 references)
    target     prot opt source               destination
    ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
    ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
    ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
    ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ftp
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ssh
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:smtp
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:domain
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:www
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:pop3
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:imap2
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:https
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:submission
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:imaps
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:pop3s
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:mysql
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:3307
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:http-alt
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:tproxy
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:webmin
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:mysql
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:3307
    DROP       icmp --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
    
    
    
    Chain ufw-after-input (0 references)
    target     prot opt source               destination
    ufw-skip-to-policy-input  udp  --  anywhere             anywhere            udp dpt:netbios-ns
    ufw-skip-to-policy-input  udp  --  anywhere             anywhere            udp dpt:netbios-dgm
    ufw-skip-to-policy-input  tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
    ufw-skip-to-policy-input  tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
    ufw-skip-to-policy-input  udp  --  anywhere             anywhere            udp dpt:bootps
    ufw-skip-to-policy-input  udp  --  anywhere             anywhere            udp dpt:bootpc
    ufw-skip-to-policy-input  all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST
    
    Chain ufw-after-logging-forward (0 references)
    target     prot opt source               destination
    LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK] '
    
    Chain ufw-after-logging-input (0 references)
    target     prot opt source               destination
    LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK] '
    
    Chain ufw-after-logging-output (0 references)
    target     prot opt source               destination
    
    Chain ufw-after-output (0 references)
    target     prot opt source               destination
    
    Chain ufw-before-forward (0 references)
    target     prot opt source               destination
    ufw-user-forward  all  --  anywhere             anywhere
    
    Chain ufw-before-input (0 references)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
    ufw-logging-deny  all  --  anywhere             anywhere            state INVALID
    DROP       all  --  anywhere             anywhere            state INVALID
    ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
    ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
    ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
    ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
    ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
    ACCEPT     udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc
    ufw-not-local  all  --  anywhere             anywhere
    ACCEPT     all  --  base-address.mcast.net/4  anywhere
    ACCEPT     all  --  anywhere             base-address.mcast.net/4
    ufw-user-input  all  --  anywhere             anywhere
    
    Chain ufw-before-logging-forward (0 references)
    target     prot opt source               destination
    
    Chain ufw-before-logging-input (0 references)
    target     prot opt source               destination
    
    Chain ufw-before-logging-output (0 references)
    target     prot opt source               destination
    
    Chain ufw-before-output (0 references)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
    ufw-user-output  all  --  anywhere             anywhere
    
    Chain ufw-logging-allow (0 references)
    target     prot opt source               destination
    LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW ALLOW] '
    
    Chain ufw-logging-deny (2 references)
    target     prot opt source               destination
    RETURN     all  --  anywhere             anywhere            state INVALID limit: avg 3/min burst 10
    LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK] '
    
    Chain ufw-not-local (1 references)
    target     prot opt source               destination
    RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type LOCAL
    RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type MULTICAST
    RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST
    ufw-logging-deny  all  --  anywhere             anywhere            limit: avg 3/min burst 10
    DROP       all  --  anywhere             anywhere
    
    
    Hab etwas kürzen müssen... aber selbst wenn ich Firewall stoppe (/etc/init.d/ufw stop) zieht es nicht.
    Ich sehe gerade das smtps gar nicht aufgeführt ist, aber in der Firewallkonfig von ISPconfig ist 465 drin.
    Oder greifen die Regeln von ispconfig garnicht? hmm
     
  4. Till

    Till Administrator

    stoppe mal die Bastille firewall auf der shell (startscript ist in /etc/init.d) und dann poste mal den iptables output den Du dann bekommst.

    Wenn Du es mal "hart"testen willst, dann ruf:

    iptables --flush

    auf, das entfernt alle Regeln, egal welche software sie gesetzt hat. Nach dem test würde ich dann aber einmal neu booten, damit alle regeln wieder hergestellt werden.
     
  5. tuxie

    tuxie Member

    Oh oh es lag an der Bastile, ich hatte von Bastile auf ufw umgestellt wegen ipv6, aber hab wohl vergessen die Bastile zu deinstallieren. Aber wenn ich jetzt die ufw neu starte dann bin ich draußen und muss neu starten lassen.
    Danke für deinen Tip, jetzt denke ich finde ich allein weiter aber an die Bastile hab ich echt nimmer gedacht.
     
  6. Till

    Till Administrator

    Damit die Umstellung klappt:

    Lösch den Firewall record in ispconfig, schalte auf UFW um und lege ihn danach neu an. Das sorgt dafür dass die Regeln in UFW einmal neu geschrieben werden, denn ansontsne würde UDF nur über Änderungen am Record informiert werden, da UFW aber direkt nach der Installation "leer" ist, fehlen sonst Ports.
     
  7. tuxie

    tuxie Member

    Danke für denn Tip, werde ich heute Abend machen, bis dahin läuft erstmal Bastile wieder und IPV6 deaktiviert.
     

Diese Seite empfehlen