外部IPからTelnetに接続できません

Question

Kimsufi VPSでpostfixサーバーを実行していて、その上にroundcubeをインストールしましたが、すべて問題ありません。問題は、別のサーバーから接続しようとすると、タイムアウトが発生することです。

telnet whys.fr 25 Trying 5.196.66.189... telnet: Unable to connect to remote Host: Connection timed out

これが私のnetstat出力です：

netstat -ntpul | grep 25 tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 17643/master tcp6 0 0 :::25 :::* LISTEN 17643/master

そして現在のiptablesルール：

Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ACCEPT tcp -- anywhere anywhere tcp dpt:smtp fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- anywhere anywhere

ローカルホストからのtelnetはうまく機能しています：

telnet localhost 25 Trying 127.0.0.1... Connected to localhost.localdomain. Escape character is '^]'. 220 whys.fr ESMTP Postfix (Debian/GNU) ehlo whys.fr 250-whys.fr 250-PIPELINING 250-SIZE 10240000 250-ETRN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN quit 221 2.0.0 Bye Connection closed by foreign Host.

サーバーはOVHのデータセンターでホストされており、ポート25はブロックされていません。

nmap -p 25 whys.fr Starting Nmap 6.47 ( http://nmap.org ) at 2015-02-20 15:16 CET Nmap scan report for whys.fr (5.196.66.189) Host is up (0.019s latency). rDNS record for 5.196.66.189: ns330237.ip-5-196-66.eu PORT STATE SERVICE 25/tcp filtered smtp Nmap done: 1 IP address (1 Host up) scanned in 0.72 seconds

また、メールのスパムリストをチェックインして、自分のIPがそれらの1つに含まれているかどうかを確認しましたが、そうではありません。

外部からtelnet25を受け入れるにはどうすればよいですか？私は今はわかりません。SFでそれに関するすべての質問をすでに見ており、インターネットの他の部分でそれらの多くを見てきました。

Tim Stoop · Accepted Answer

Nmapのドキュメントによると：

filtered Nmap cannot determine whether the port is open because packet filtering prevents its probes from reaching the port. The filtering could be from a dedicated firewall device, router rules, or Host-based firewall software. These ports frustrate attackers because they provide so little information. Sometimes they respond with ICMP error messages such as type 3 code 13 (destination unreachable: communication administratively prohibited), but filters that simply drop probes without responding are far more common. This forces Nmap to retry several times just in case the probe was dropped due to network congestion rather than filtering. This slows down the scan dramatically.

したがって、ポートがどこかのファイアウォールによって単にブロックされているように見えます。多分あなたの地元のISP？接続しようとすると、接続が確立されるためです。

$ telnet whys.fr 25 Trying 5.196.66.189... Connected to whys.fr. Escape character is '^]'. 220 whys.fr ESMTP Postfix (Debian/GNU)

残念ながら、ISPが、クライアントマシン上のボットがスパムを直接送信するのを防ぐために、自身のネットワークの外部にあるポート25への直接接続をブロックすることは珍しくありません。

Ricardo · Answer

先に進む前に最初に行うことは、ポート25を netcat のようなツールでエンドツーエンドでテストすることです。

このツールは、ほとんどのLinuxディストリビューションに標準で付属しています。たとえば、CentOSでは、postfixを停止してポート25を解放します。次に、次のようにnetcatを起動します。

# nc -l 25

次に、リモートクライアントで次のように起動します。

# nc {ip of remote server} 25

次に、どちらかの端で入力したものはすべて、画面に反映/表示されます。そうでない場合は、途中でポートがブロックされています。