Problema ao acessar a porta 25 em uma instância do EC2

1

Parece que não consigo acessar a porta 25 em uma instância do Amazon EC2. Eu abri a porta no grupo de segurança e no firewall do iptables. Eu abri outras portas (incluindo 22 e 80) da mesma forma e elas funcionam.

Na instância, posso fazer o telnet para a porta 25 e ver a saída do postfix. Do lado de fora do EC2 eu posso fazer telnet para a porta 22 ou 80 e ver a saída do servidor SSH e do servidor web. Mas quando eu faço telnet para a porta 25 do lado de fora do EC2, fica esperando.

Eu preenchi o formulário para ser capaz de enviar e-mail e ter confirmado que isso foi feito. E eu verifiquei e o email de saída funciona bem. (Tudo isso através de um relé para evitar listas negras de IP).

A Amazon também trata o tráfego de entrada para a porta 25 de maneira diferente? Funciona bem para outras pessoas? Qualquer ajuda apreciada.

Como uma fonte alternativa de problemas, estou usando o postfix no SUSE Linux (SLES 10) e estou querendo saber se algum deles tem algumas configurações ocultas que significam que eles não responderão à porta 25 de fora da máquina. Eu verifiquei as configurações do iptables com iptables -L -nvv e iptables -t nat -L -nvv e não consigo ver nenhuma regra que atrapalhe. E o postfix responde ao telnet no host local.

Editar: Quando desligo completamente o iptables, o telnet retorna imediatamente com

telnet: Unable to connect to remote host: Connection refused

Conforme solicitado por uma resposta, o conteúdo de master.cf é:

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
#submission inet n      -       n       -       -       smtpd
#       -o smtpd_etrn_restrictions=reject
#       -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#smtps    inet  n       -       n       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
#submission   inet    n       -       n       -       -       smtpd
#  -o smtpd_etrn_restrictions=reject
#  -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
#628      inet  n       -       n       -       -       qmqpd
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       oqmgr
#tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       n       -       -       smtp
        -o fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
#localhost:10025 inet   n       -       n       -       -       smtpd -o content_filter=
scache    unix  -       -       n       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
cyrus     unix  -       n       n       -       -       pipe
  user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
procmail  unix  -       n       n       -       -       pipe
  flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} {recipient}

e grep -v '#' /etc/sysconfig/postfix :

POSTFIX_RELAYHOST="[mail.domain.com]"
POSTFIX_MASQUERADE_DOMAIN=""
POSTFIX_LOCALDOMAINS="\$myhostname"
POSTFIX_NULLCLIENT="no"
POSTFIX_DIALUP="no"
POSTFIX_NODNS="no"
POSTFIX_CHROOT="no"
POSTFIX_UPDATE_CHROOT_JAIL=no
POSTFIX_LAPTOP=no
POSTFIX_UPDATE_MAPS=yes
POSTFIX_MAP_LIST="virtual transport access canonical sender_canonical relocated sasl_passwd:600 relay_ccerts"
POSTFIX_RBL_HOSTS=""
POSTFIX_BASIC_SPAM_PREVENTION=off
POSTFIX_MDA=local
POSTFIX_SMTP_AUTH_SERVER=no
POSTFIX_SMTP_AUTH=no
POSTFIX_SMTP_AUTH_OPTIONS=""
POSTFIX_SMTP_TLS_SERVER=no
POSTFIX_SMTP_TLS_CLIENT="no"
POSTFIX_SSL_PATH="/etc/postfix/ssl"
POSTFIX_TLS_CAFILE="cacert.pem"
POSTFIX_TLS_CERTFILE="certs/postfixcert.pem"
POSTFIX_TLS_KEYFILE="certs/postfixkey.pem"
POSTFIX_SSL_COUNTRY="XX"
POSTFIX_SSL_STATE="Some state"
POSTFIX_SSL_LOCALITY="Some locality"
POSTFIX_SSL_ORGANIZATION="Some Organization"
POSTFIX_SSL_ORGANIZATIONAL_UNIT="Some Organizational Unit"
POSTFIX_SSL_COMMON_NAME="A common name"
POSTFIX_SSL_EMAIL_ADDRESS="postmaster"
POSTFIX_ADD_MAILBOX_SIZE_LIMIT=0
POSTFIX_ADD_MESSAGE_SIZE_LIMIT=10240000
POSTFIX_REGISTER_SLP="yes"
POSTFIX_ADD_MYNETWORKS_STYLE="subnet"

Eu mudei o domínio no topo, mas é o mesmo.

    
por Hamish Downer 28.10.2010 / 14:17

3 respostas

2

Quando você altera um grupo de segurança de uma instância que já está em execução, ele pode literalmente demorar até que as alterações sejam aplicadas. Idade significa, qualquer coisa entre instantaneamente e horas !

Eu checaria sua configuração do iptables:

iptables iptables -nL -v --line-numbers -t filter
iptables iptables -nL -v --line-numbers -t nat
iptables iptables -nL -v --line-numbers -t mangle
iptables iptables -nL -v --line-numbers -t raw

Se tudo estiver bem e ainda não funcionar, basta reiniciar a instância.

    
por 30.10.2010 / 18:12
1

Eu sugiro desligar completamente o iptables por alguns minutos e testar novamente - para tirar isso da equação. Desta forma, você saberá com certeza que não tem nada a ver com a filtragem de pacotes, ou é definitivamente parte da filtragem de pacotes.

Você também pode compartilhar conosco o conteúdo relevante do /etc/postfix/master.cf? (ou onde quer que esteja no SUSE linux). Pode ter sido configurado para não escutar em nada além de localhost.

Acredito que a linha para o smtp deve se parecer com isso para um smtpd voltado para a Internet:

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
    
por 28.10.2010 / 14:54
1

Isso agora está funcionando, mas graças a Till e sandroid por suas respostas. Para outros que estão se perguntando, o Amazon não tem nada de especial sobre a porta 25. Parece que o postfix não estava ouvindo endereços externos. Eu ainda não descobri o porquê, mas acabei instalando outro MTA e funcionou bem.

    
por 31.10.2010 / 14:50