web-dev-qa-db-ja.com

外部IPからTelnetに接続できません

Kimsufi VPSでpostfixサーバーを実行していて、その上にroundcubeをインストールしましたが、すべて問題ありません。問題は、別のサーバーから接続しようとすると、タイムアウトが発生することです。

telnet whys.fr 25
Trying 5.196.66.189...
telnet: Unable to connect to remote Host: Connection timed out

これが私のnetstat出力です:

netstat -ntpul | grep 25
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      17643/master    
tcp6       0      0 :::25                   :::*                    LISTEN      17643/master

そして現在のiptablesルール:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

ローカルホストからのtelnetはうまく機能しています:

telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
220 whys.fr ESMTP Postfix (Debian/GNU)
ehlo whys.fr
250-whys.fr
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign Host.

サーバーはOVHのデータセンターでホストされており、ポート25はブロックされていません。

nmap -p 25 whys.fr

Starting Nmap 6.47 ( http://nmap.org ) at 2015-02-20 15:16 CET
Nmap scan report for whys.fr (5.196.66.189)
Host is up (0.019s latency).
rDNS record for 5.196.66.189: ns330237.ip-5-196-66.eu
PORT   STATE    SERVICE
25/tcp filtered smtp

Nmap done: 1 IP address (1 Host up) scanned in 0.72 seconds

また、メールのスパムリストをチェックインして、自分のIPがそれらの1つに含まれているかどうかを確認しましたが、そうではありません。

外部からtelnet25を受け入れるにはどうすればよいですか?私は今はわかりません。SFでそれに関するすべての質問をすでに見ており、インターネットの他の部分でそれらの多くを見てきました。

1
Supamiu

Nmapのドキュメントによると:

filtered

Nmap cannot determine whether the port is open because packet filtering prevents
its probes from reaching the port. The filtering could be from a dedicated
firewall device, router rules, or Host-based firewall software. These ports
frustrate attackers because they provide so little information. Sometimes they
respond with ICMP error messages such as type 3 code 13 (destination unreachable:
communication administratively prohibited), but filters that simply drop probes
without responding are far more common. This forces Nmap to retry several times
just in case the probe was dropped due to network congestion rather than
filtering. This slows down the scan dramatically.

したがって、ポートがどこかのファイアウォールによって単にブロックされているように見えます。多分あなたの地元のISP?接続しようとすると、接続が確立されるためです。

$ telnet whys.fr 25
Trying 5.196.66.189...
Connected to whys.fr.
Escape character is '^]'.
220 whys.fr ESMTP Postfix (Debian/GNU)

残念ながら、ISPが、クライアントマシン上のボットがスパムを直接送信するのを防ぐために、自身のネットワークの外部にあるポート25への直接接続をブロックすることは珍しくありません。

3
Tim Stoop

先に進む前に最初に行うことは、ポート25を netcat のようなツールでエンドツーエンドでテストすることです。

このツールは、ほとんどのLinuxディストリビューションに標準で付属しています。たとえば、CentOSでは、postfixを停止してポート25を解放します。次に、次のようにnetcatを起動します。

# nc -l 25

次に、リモートクライアントで次のように起動します。

# nc {ip of remote server} 25

次に、どちらかの端で入力したものはすべて、画面に反映/表示されます。そうでない場合は、途中でポートがブロックされています。

1
Ricardo