Postfix SSL Problem

#1
Hallo alle zusammen,

ich habe seit dem Wochenende ein Problem. Am Freitag war mein Server nicht erreichbar, ich vermute zu großer Zugriff, habe ihn dann in denn Recovery Modus versetzt und alles in Ordnung gebracht. Wieder hochgefahren und läuft auch seit dem wieder soweit Sauber.

Heute morgen stelle ich fest das ich keine Verbindung zum Postfix Port 465 SSL bekomme. Port 25 ohne SSL funktioniert einwandfrei. Ich dachte ok liegt eventuell an der Firewall aber auch nach dem Stopp der Firewall gab es keine Änderungen.

netstat zeigt mir einen Listener auf Port 465 and und auch nmap local zeigt ihn an. Wenn ich aber nmap von woanders laufen lasse bekomme ist der port angeblich nicht offen. Ich habe jetzt beim Rechenzentrum angefragt ob es dahin ein Problem gibt aber das wurde verneint. Ich bin echt ratlos woran es liegen kann, es gibt keinen Hinweis in denn Logdateien das irgendwas nicht stimmt.

Hat irgendwer eine Idee wo ich noch nachsehen könnte woran es liegen könnte?

Besten dank im Vorraus

tuxie
 
#3
Habe leider keine Fehler in der Logdatei, im Anhang der Auszug von iptables

Code:
 iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-courierauth  tcp  --  anywhere             anywhere            multiport dports imap2,imap3,imaps,pop3,pop3s
fail2ban-sasl  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
fail2ban-postfix  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh
fail2ban-ssh-ddos  tcp  --  anywhere             anywhere            multiport dports ssh
DROP       tcp  --  anywhere             loopback/8
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  base-address.mcast.net/4  anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssmtp
DROP       all  --  pcai056.informatik.uni-leipzig.de  anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere

Chain INT_IN (0 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain INT_OUT (0 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain PAROLE (17 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain PUB_IN (5 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ftp
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ssh
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:smtp
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:domain
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:www
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:pop3
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:imap2
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:https
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:submission
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:imaps
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:pop3s
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:mysql
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:3307
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:http-alt
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:tproxy
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:webmin
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:mysql
ACCEPT     udp  --  anywhere             anywhere            udp dpt:3307
DROP       icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere



Chain ufw-after-input (0 references)
target     prot opt source               destination
ufw-skip-to-policy-input  udp  --  anywhere             anywhere            udp dpt:netbios-ns
ufw-skip-to-policy-input  udp  --  anywhere             anywhere            udp dpt:netbios-dgm
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
ufw-skip-to-policy-input  udp  --  anywhere             anywhere            udp dpt:bootps
ufw-skip-to-policy-input  udp  --  anywhere             anywhere            udp dpt:bootpc
ufw-skip-to-policy-input  all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK] '

Chain ufw-after-logging-input (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK] '

Chain ufw-after-logging-output (0 references)
target     prot opt source               destination

Chain ufw-after-output (0 references)
target     prot opt source               destination

Chain ufw-before-forward (0 references)
target     prot opt source               destination
ufw-user-forward  all  --  anywhere             anywhere

Chain ufw-before-input (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ufw-logging-deny  all  --  anywhere             anywhere            state INVALID
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc
ufw-not-local  all  --  anywhere             anywhere
ACCEPT     all  --  base-address.mcast.net/4  anywhere
ACCEPT     all  --  anywhere             base-address.mcast.net/4
ufw-user-input  all  --  anywhere             anywhere

Chain ufw-before-logging-forward (0 references)
target     prot opt source               destination

Chain ufw-before-logging-input (0 references)
target     prot opt source               destination

Chain ufw-before-logging-output (0 references)
target     prot opt source               destination

Chain ufw-before-output (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ufw-user-output  all  --  anywhere             anywhere

Chain ufw-logging-allow (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW ALLOW] '

Chain ufw-logging-deny (2 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere            state INVALID limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK] '

Chain ufw-not-local (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type LOCAL
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type MULTICAST
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST
ufw-logging-deny  all  --  anywhere             anywhere            limit: avg 3/min burst 10
DROP       all  --  anywhere             anywhere
Hab etwas kürzen müssen... aber selbst wenn ich Firewall stoppe (/etc/init.d/ufw stop) zieht es nicht.
Ich sehe gerade das smtps gar nicht aufgeführt ist, aber in der Firewallkonfig von ISPconfig ist 465 drin.
Oder greifen die Regeln von ispconfig garnicht? hmm
 

Till

Administrator
#4
stoppe mal die Bastille firewall auf der shell (startscript ist in /etc/init.d) und dann poste mal den iptables output den Du dann bekommst.

Wenn Du es mal "hart"testen willst, dann ruf:

iptables --flush

auf, das entfernt alle Regeln, egal welche software sie gesetzt hat. Nach dem test würde ich dann aber einmal neu booten, damit alle regeln wieder hergestellt werden.
 
#5
Oh oh es lag an der Bastile, ich hatte von Bastile auf ufw umgestellt wegen ipv6, aber hab wohl vergessen die Bastile zu deinstallieren. Aber wenn ich jetzt die ufw neu starte dann bin ich draußen und muss neu starten lassen.
Danke für deinen Tip, jetzt denke ich finde ich allein weiter aber an die Bastile hab ich echt nimmer gedacht.
 

Till

Administrator
#6
Damit die Umstellung klappt:

Lösch den Firewall record in ispconfig, schalte auf UFW um und lege ihn danach neu an. Das sorgt dafür dass die Regeln in UFW einmal neu geschrieben werden, denn ansontsne würde UDF nur über Änderungen am Record informiert werden, da UFW aber direkt nach der Installation "leer" ist, fehlen sonst Ports.
 

Werbung

Top