Открыть порт на Debian 9

linksm · 06 марта 2021, 16:47:08

Здравствуйте. Подскажите пожалуйста - как открыть порт в debian 9, например, 25-й. А то столько всяких пособий, которые просто противоречат друг другу и ничего четкого и вразумительного нет

ChubaDuba · 06 марта 2021, 17:08:43

Я пользуюсь фаерволом ufw. Чтобы открыть с помощью него 25 порт нужно выполнить:

Код Выделить


$ sudo ufw allow 25

Если за роутером, то нужно и на нём пробросить нужный порт.

dzhoser · 06 марта 2021, 18:30:31

Важно так же указывать протокол для которого вы открываете порт

Код Выделить

sudo ufw allow 22/tcp если протокол не указан будет открыто для всех протоколов
Если вы используете iptables, то нужно указывать направление для правила
Входящий

Код Выделить

sudo iptables -t filter -A INPUT -p tcp --dport 22-j ACCEPT
Исходящий

Код Выделить

sudo iptables -t filter -A OUTPUT -p tcp --dport 22-j ACCEPT

linksm · 20 марта 2021, 00:16:11

Значит, описываю ситуацию подробнее. Есть сервер на Debian 9, на нем нужно организовать виртуал хосты\поддомены, которые будут привязаны каждый к своему IP, с которых будет идти рассылки. Делал через Postfix instances, прописывая через main.cf и master.cf. В итоге - на главном хосте все работает, а два виртуала не работают - для них закрыт порт 25 и остальные. Прописывал в iptables все что можно - полный ноль.
Если пишу в главном main.cf, принудительно:
smtp_bind_address = Х.Х.Х.Х
smtp_helo_name = mail1.new.com
myhostname = mail1.new.com
То только тогда для него как-то открывается порт и идет рассылка. Но вместе они не работают, только по отдельности.
Сами виртуал хосты через браузер не открываются, ERR Connection Timed Out, главные сайт сам открывается.

dzhoser · 20 марта 2021, 07:43:37

Цитата: linksm от 20 марта 2021, 00:16:11Прописывал в iptables все что можно - полный ноль.

Ну покажите что написали, как разрешали
порты.
Попробуйте без iptables
Остановить службу iptables можно командами:

Код Выделить

/etc/init.d/iptables stop
или

Код Выделить

service iptables stop
Создайте скрипт для сброса правил

Код Выделить

su -

Код Выделить

nano iptables-drop.sh
Со следующим содержимым:

Цитировать#!/bin/sh
echo "Stopping firewall and allowing everyone..."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Сохраняем изменения сочетанием клавиш CTRL+O Y и выходим из Nano командой CTRL+X

Разрешаем файл на исполнение:

Код Выделить

chmod u+x /root/iptables-drop.sh
Запускаем файл скрипта для сброса правил:

Код Выделить

sh /root/iptables-drop.sh
Результат работы этого файла можно посмотреть путем вывода итогового списка существующих правил в IPtables при помощи команды:

Код Выделить

iptables -L
После выполнения команды будет выведен следующий результат, подтверждающий отсутствие правил:

Код Выделить

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Примечание: Внесенные скриптом изменения остаются в силе до перезагрузки VPS или IPtables. В случае выполнения перезагрузки необходимо вновь запустить файл скрипта, чтобы исходные правила были сброшены.
Ну и нужно начать с пинга виртуалок, может вы неправильно выпонели сетевые настройки (например машины в разных подсетях). И выложите конфигационные файлы, а то гадание на кофейной гуще получается.

linksm · 21 марта 2021, 16:21:27

Все виртуалки прекрасно пингуются. Конфиги main.cf вот, отличаются только доменами и ip-адресами:
1) myorigin = mail.domain.com
myhostname = mail.domain.com

smtpd_banner = mail.domain.com
biff = no

mynetworks = X.X.X.1

mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

masquerade_classes = envelope_sender, header_sender
relay_domains = mail.domain.com
maximal_queue_lifetime = 5d

compatibility_level = 2

multi_instance_wrapper = ${command_directory}/postmulti -p --
multi_instance_enable = yes
multi_instance_directories = /etc/postfix-mail1 /etc/postfix-mail2

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

append_dot_mydomain = no

milter_protocol = 2
milter_default_action = accept

2) В конфигах master.cf у всех прописана строка:
25 inet n - n - - smtpd

ogost · 22 марта 2021, 06:53:08

На самом деле для доступности порта извне нужно:
1. Запустить процесс, слушающий порт
2. Убедиться, что фаервол на сервере его не блокирует
3. Убедиться, что внешний фаервол его не блокирует. Это может быть ваш хостер, ваш сисадмин, или кто-то другой, кто заведует вашей сетью.

Код Выделить


ss -ltpnu # покажет открытые порты, если от рута, то ещё и процесс, слушающий порт
iptables -L # покажет правила iptables.