FirewallD принудительно запускает кольцевую проверку Centos 7 на порт 25 электронной почты
Итак, я знаю, что это какая-то проблема с правилами брандмауэра. Я постараюсь объяснить как можно лучше. У меня есть среда, которая представляет собой виртуальную машину KVM внутри VPS.
ДИАГРАММА СЕТИ
VPS-WAN = 1.1.1.1 => KVM-virbr-Interface = 10.0.0.1 => KVM-VM 10.0.0.2
Я могу telnet из любого места в Интернет, чтобы попасть в KVM-VM из-за этих правил.
firewall-cmd --zone=public --add-forward-port=port=25:proto=tcp:toport=25:toaddr=10.0.0.2 --permanent
Проблема возникает при отправке электронной почты из KVM-VM. Если я подключу что-нибудь через порт 25 с этого хоста, я буду перенаправлен обратно к себе.
Глядя на tcpdump, Я вижу, что пакеты просто перенаправляются на себя. Я, например, использую telneting 8.8.8.8 25, потому что там явно нет службы smtp и мой сеанс telnet перенаправляется обратно мне.
5:08:36.439608 IP 10.10.0.2.44558 > 10.10.0.2.25: Flags [S], seq 688613034, win 29200, options [mss 1460,sackOK,TS val 1183513828 ecr 0,nop,wscale 7], length 0
05:08:36.439668 IP 10.10.0.1.44558 > 10.10.0.2.25: Flags [S], seq 688613034, win 29200, options [mss 1460,sackOK,TS val 1183513828 ecr 0,nop,wscale 7], length 0
05:08:36.439901 IP 10.10.0.2.25 > 10.10.0.2.44558: Flags [S.], seq 1310863117, ack 688613035, win 28960, options [mss 1460,sackOK,TS val 1183513829 ecr 1183513828,nop,wscale 7], length 0
05:08:36.439927 IP 8.8.8.8.25 > 10.10.0.2.44558: Flags [S.], seq 1310863117, ack 688613035, win 28960, options [mss 1460,sackOK,TS val 1183513829 ecr 1183513828,nop,wscale 7], length 0
05:08:36.440127 IP 10.10.0.2.44558 > 10.10.0.2.25: Flags [.], ack 1, win 229, options [nop,nop,TS val 1183513829 ecr 1183513829], length 0
05:08:36.440152 IP 10.10.0.1.44558 > 10.10.0.2.25: Flags [.], ack 1310863118, win 229, options [nop,nop,TS val 1183513829 ecr 1183513829], length 0
05:08:36.483292 IP 10.10.0.2.25 > 10.10.0.2.44558: Flags [P.], seq 1:35, ack 1, win 227, options [nop,nop,TS val 1183513872 ecr 1183513829], length 34: SMTP: 220 mail.axoai.com ESMTP Postfix
05:08:36.483346 IP 8.8.8.8.25 > 10.10.0.2.44558: Flags [P.], seq 1:35, ack 1, win 227, options [nop,nop,TS val 1183513872 ecr 1183513829], length 34: SMTP: 220 mail.axoai.com ESMTP Postfix
05:08:36.483558 IP 10.10.0.2.44558 > 10.10.0.2.25: Flags [.], ack 35, win 229, options [nop,nop,TS val 1183513872 ecr 1183513872], length 0
05:08:36.483582 IP 10.10.0.1.44558 > 10.10.0.2.25: Flags [.], ack 35, win 229, options [nop,nop,TS val 1183513872 ecr 1183513872], length 0
Мне пришлось добавить правило назначения из IP-адреса WAN, например, и удалить старое правило.
Это правило позволяет передавать дочернему узлу только пакеты из WAN на родительском хосте.
sudo firewall-cmd --zone=public --permanent --add-rich-rule 'rule family=ipv4 destination address=1.1.1.1 forward-port port=25 protocol=tcp to-port=25 to-addr=10.0.0.2'
Редактировать Мне также пришлось добавить маскарад
firewall-cmd --permanent --zone=public --add-masquerade