Não é possível rejeitar diretamente o tráfego na porta 25

2

Meu servidor está executando o Ubuntu 10.04.4 LTS e quero rejeitar o tráfego para a porta 25. O objetivo é este:

$ telnet {ip} 25
Trying {ip}...
telnet: connect to address {ip}: Connection refused
telnet: Unable to connect to remote host

Eu tentei usar iptables diretamente, mas isso falhou. Em vez disso, estou tentando uwf :

$ ufw reject 25

No entanto, não funciona como esperado:

$ telnet {ip} 25
Trying {ip}...
# Waiting for a minute…
telnet: connect to address {ip}: Connection refused
telnet: Unable to connect to remote host

Se eu tentar o mesmo com qualquer outra porta (digamos, 23), ela funcionará sem o tempo de espera. Isso é estranho, porque nada está acontecendo na porta 25 de acordo com netstat .

Como posso rejeitar o tráfego para a porta 25 diretamente, sem esse atraso?
Note que a mesma técnica em outro servidor funcionou.



Atualização: aqui está a parte relevante de iptables :

Chain ufw-user-input (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:www 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:smtp reject-with tcp-reset 
REJECT     udp  --  anywhere             anywhere            udp dpt:25 reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere            tcp dpt:telnet reject-with tcp-reset 
REJECT     udp  --  anywhere             anywhere            udp dpt:23 reject-with icmp-port-unreachable

Update: respostas aos comentários

  • ufw deny 25 também não funciona.
  • Estou conectando de um local remoto.
por Ruben Verborgh 16.01.2013 / 11:50

1 resposta

0

tcpdump tempo:

tcpdump -s0 -w /tmp/tracefile.pcap tcp port 25

CTRL-C quando terminar o teste, depois carregue o arquivo no Wireshark.

    
por 16.01.2013 / 15:35