Resumo
Existe um host de caixa virtual (1.1.1.5) e um convidado roteado (1.1.1.6). Algo redireciona qualquer tráfego na porta 25 com o convidado, seja de entrada ou saída, para a porta 1.1.1.5 2525 e não consigo descobrir o que.
Os ips e macs são alterados para este post, é claro.
Configuração
Eu tenho a seguinte configuração:
- há um servidor raiz do debian com IP 1.1.1.5, hospedando um servidor de caixa de entrada virtual
- um segundo IP (1.1.1.6) é roteado para este servidor
- esse segundo IP é roteado para uma interface de rede virtual "virbr1", que é usada por um servidor de mensagens guest debian virtualbox
- no servidor raiz, o iptables está sendo executado e configurado com o ufw
A configuração funciona perfeitamente - eu posso pingar o servidor de e-mail no 1.1.1.6 e acessar sua interface web etc, o servidor de e-mail pode acessar a internet, tudo está bem, EXCETO aquela porta : tentando alcançar o servidor de e-mails na porta 25 não está funcionando.
Não se trata de uma porta 25 de bloqueio do ISP ou algo assim, é mais complexo. Leia em:)
Diagnóstico do problema
Telnet de externo
Quando tento fazer telnet de outro servidor:
telnet 1.1.1.6 25
a conexão expirará. No syslog do sistema host (1.1.1.5), a seguinte mensagem das tabelas ip é exibida:
[UFW BLOCK] IN=eth0 OUT= MAC=c8:c8:c8:c8:c8:c8:c8:fe:3d:46:e6:0f:08:00 SRC=2.2.2.5 DST=1.1.1.5 LEN=64 TOS=0x00 PREC=0x00 TTL=55 ID=45855 DF PROTO=TCP SPT=64059 DPT=2525 WINDOW=65535 RES=0x00 SYN URGP=0
Há uma coisa importante a ser observada aqui: Eu tentei me conectar a 1.1.1. 6 na porta 25 , mas o iptables bloco acontece em 1.1.1. 5 na porta 2525
Telnet da caixa de convidados
Quando faço SSH para o convidado do servidor de correio e, em seguida, dou outro servidor por telnet:
telnet 9.9.9.5 25
a conexão também irá expirar. Observe que todas as outras portas ou conexões funcionam. No log do sistema host, as seguintes mensagens indesejadas aparecem:
[UFW BLOCK] IN=virbr1 OUT= MAC=aa:aa:ab:ac:ad:af:af:ag:ag SRC=1.1.1.6 DST=1.1.1.5 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=3529 DF PROTO=TCP SPT=45250 DPT=2525 WINDOW=14600 RES=0x00 SYN URGP=0
Importante notar: o horário de verão deve ser 9,9.9.5, mas é o IP dos servidores host. O DPT era esperado para ser 25, mas é 2525.
Suposição
Parece que algo no sistema host 1.1.1.5 redireciona qualquer tráfego na porta 25 que passa por ele para si mesmo na porta 2525.
Procurando pela causa
Eu tentei as seguintes maneiras para encontrar a causa desse comportamento:
-
netstat -lnp
no host não mostra nada ligado à porta 25 ou 2525
- os arquivos de configuração em
/etc/ufw
, especialmente before.rules, não contêm nada sobre a porta 25, exceto os -A ufw-before-forward -i eth0 -d 1.1.1.6 -p tcp --dport 25 -j ACCEPT
necessários
- usando
iptables -L -n | grep "25"
mostra apenas a regra mencionada acima na cadeia de encaminhamento
- mesmo em
ufw logging high
, o syslog não contém nada antes das mensagens de bloqueio mencionadas acima relacionadas aos pacotes em questão
- Desativar o firewall com
ufw disable
não altera o problema
- Nenhum arquivo de configuração menciona um 2525:
egrep -R "2525" /etc
não retorna nada.
Então, agora, eu estou sem noção. Como devo diagnosticar ainda mais esse problema? Qual pode ser a causa?