firewalld:轉發埠 25 時遇到問題,而其他埠轉發正常,“豐富規則”日誌顯示沒有條目
所以,我第一次安裝了Fedora Core 19來替代一個磁碟最終死掉的舊系統。該系統用作網路伺服器和網關/防火牆,保護內部系統。因為它有很多網路配置,我得到了一個介紹——並且發現我真的很喜歡——新的防火牆守護程序 firewalld。
當我突然發現內部郵件伺服器的郵件日誌文件變得瘋狂時,我以為一切都進展順利(總是有麻煩)——幸運的是,在一切正常執行大約 6 小時後,我仍然在看它。
調查顯示問題在於我的內部郵件系統(受防火牆保護)以某種方式認為所有出站郵件都來自網關係統,因此它是一個“內部”系統,垃圾郵件發送者發現它是一個開放中繼。**我還注意到,內部和外部區域都被標記為“偽裝”,實際上郵件日誌文件中感知的 IP 地址是網關的 IP。**通過轉發的 ssh 埠登錄也確認內部使用了錯誤的 IP。
沒問題!”我錯誤地想。是的,關閉內部區域的偽裝確實修復了通過網關時傳遞給內部系統的錯誤 IP。但是,它並沒有解決問題,因為,莫名其妙地(到目前為止!)似乎埠 25 不再被轉發!
正在轉發其他埠,至少我所說的易於測試的 ssh 埠是。所以,我想,我會打開那個花哨的日誌功能!這是命令:
firewall-cmd --zone=external --add-rich-rule='rule family="ipv4" forward-port port="25" protocol="tcp" to-port="25" to-addr="192.168.1.1" log prefix="smtp-to-inside" level="info"'我嘗試使用永久選項,而不是等等**。/var/log/messages或任何其他我能想到的日誌文件中都沒有顯示任何內容。就好像核心只是忽略了那個埠。我想也許內部郵件系統可能會用它的防火牆阻止外部流量,但是網關應該記錄連接嘗試,但我什麼也沒得到。**
任何和所有的幫助表示讚賞。
這個問題與firewalld無關,儘管它確實說明了firewalld日誌記錄的錯誤。
問題是在升級期間,我將提供郵件服務的內部系統的預設路由切換到了不同的網關/防火牆,升級不涉及。我認為這是一個好主意,因為新系統有問題,我想。
當我返回內部 SMTP 服務系統以使用新網關機器作為其預設路由時,一切都開始工作了!事實證明,有一個沒有人告訴你的要求- 從來沒有發現它記錄在案,但現在我已經找到了,一些老計時器確認 - 要麼預設路由必須設置為與轉發數據包的位置相同或者,您必須設置特殊的路由,以將數據包從它們的來源返回到相同的路徑中。這就是要求:返迴路線必須等於源路線。
祝你好運!