Port 465 in Firewall nach Upgrade auf Keyhelp 22 nicht offen

Haben Sie einen Bug entdeckt? Teilen Sie es uns mit.
Post Reply
l_fish
Posts: 144
Joined: Tue 15. Aug 2017, 11:49

Port 465 in Firewall nach Upgrade auf Keyhelp 22 nicht offen

Post by l_fish »

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Ja.


Server-Betriebssystem + Version
Debian 11.3


Eingesetzte Server-Virtualisierung-Technologie
keine bzw. KVM


KeyHelp-Version + Build-Nummer
22.0 - Build 2393


Problembeschreibung / Fehlermeldungen
Nach dem Upgrade von 21.3 auf 22.0 ist der Server nicht über Port 465 (SMTP SSL/TLS) erreichbar aufgrund einer nicht angewendeten Firewallregel-Änderung.

Erwartetes Ergebnis
Port 465 nach Upgrade geöffnet in der Firewall.

Tatsächliches Ergebnis
Port 465 nach Upgrade nicht geöffnet in der Firewall.

Schritte zur Reproduktion
Upgrade von 21.3 auf 22.0

Zusätzliche Informationen
Nach dem Upgrade von 21.3 auf 22.0 wurde zwar in der Keyhelp-Firewall der Port 465 zur SMTP Regel hinzugefügt (sichtbar in Keyhelp), die Regeländerung wurde aber in iptables nicht umgesetzt, konkret es fehlte ein

-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT

Durch einmal deaktivieren und danach wieder aktivieren der Firewall in Keyhelp wurde die aktualisierte Regel auch nach iptables geschrieben und der Port war wie gewünscht offen.

Das Verhalten konnte ich auf zwei Instanzen nachvollziehen.


Grüße,
Lars
User avatar
Jolinar
Community Moderator
Posts: 3559
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Port 465 in Firewall nach Upgrade auf Keyhelp 22 nicht offen

Post by Jolinar »

Kann ich so nicht reproduzieren...Hab jetzt auf mehreren Maschinen (Free und Pro) geschaut, Port 465 ist bei den Firewallregeln korrekt eingetragen und auch netstat liefert das erwartete Ergebnis:

Code: Select all

root@host:~# netstat -tulpen | grep 465
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      0          197666     44858/master
tcp6       0      0 :::465                  :::*                    LISTEN      0          197667     44858/master
root@host:~#
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Alexander
Keyweb AG
Posts: 3809
Joined: Wed 20. Jan 2016, 02:23

Re: Port 465 in Firewall nach Upgrade auf Keyhelp 22 nicht offen

Post by Alexander »

Ich nehme an, du hast über "iptables -S" oder "iptables -L" nachgeschaut?

Im Zuge des Updates wurde der geöffnete Port dort ans Ende gesetzt und steht nicht da, wo man ihn vermutlich erwarten würde (oben, dort wo die anderen Port-Öffnungen stehen). Das ist aus dem Grund gemacht, um möglicht wenig mit bestehenden Firewall-Konfigurationen zu kollidieren.

Hier ein Beispiel von einem geupdateten Server, wie du siehst, steht die Regel ganz unten. Wenn man die Regeln zu einem späteren Zeitpunkt aktualisiert (oder wie in deinem Fall Firewall ein und ausschaltet) dann steht sie dort, wo man sie auch erwahrten würde.

Code: Select all

...
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 30000:30500 -j ACCEPT
-A INPUT -s ........./32 -p tcp -j ACCEPT
-A INPUT -s ........./32 -p tcp -j ACCEPT
-A INPUT -s ........./32 -p udp -j ACCEPT
-A INPUT -s ........./32 -p udp -j ACCEPT
-A INPUT -s ........./32 -p tcp -j ACCEPT
-A INPUT -s ........./32 -p tcp -j ACCEPT
-A INPUT -s ........./32 -p tcp -j ACCEPT
-A INPUT -s ........./32 -p tcp -j ACCEPT
-A INPUT -s ........./32 -p tcp -j ACCEPT
-A INPUT -s ........./32 -p tcp -j ACCEPT
-A INPUT -s ........./32 -p udp -j ACCEPT
-A INPUT -s ........./32 -p udp -j ACCEPT
-A INPUT -s ........./32 -p udp -j ACCEPT
-A INPUT -s ........./32 -p udp -j ACCEPT
-A INPUT -s ........./32 -p udp -j ACCEPT
-A INPUT -s ........./32 -p udp -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8/0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j DROP
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
l_fish
Posts: 144
Joined: Tue 15. Aug 2017, 11:49

Re: Port 465 in Firewall nach Upgrade auf Keyhelp 22 nicht offen

Post by l_fish »

Alexander wrote: Wed 6. Apr 2022, 10:40 Ich nehme an, du hast über "iptables -S" oder "iptables -L" nachgeschaut?
Ich habe iptables-save benutzt.
Alexander wrote: Wed 6. Apr 2022, 10:40 Im Zuge des Updates wurde der geöffnete Port dort ans Ende gesetzt und steht nicht da, wo man ihn vermutlich erwarten würde
In der Tat habe ich nur oben geschaut. Ob die Regel weiter unten vorhanden war, kann ich nun natürlich nicht mehr nachvollziehen. Aber zumindest auf einem System war der Server zunächst nicht über Port 465 erreichbar. Erst nach De/Reaktivierung der Firewall klappte ein Verbindungsaufbau. Beim zweiten System hatte ich die Erreichbarkeit vorab dann nicht mehr überprüft.

Ich habe noch ein paar weitere Systeme auf Keyhelp 21.3, auf denen führe ich in den nächsten Tagen dann mal Update durch, schaue, wie sich das dort verhält und gebe hier Rückmeldung.

Vielen Dank für die Hilfe hier bisher :)
Post Reply