VPS і проблема з портами 25, 465, 587

[trialon77]

Є VPS в голандському датацентрі. Орендую його вже трохи більше півроку.

Не скажу, що я прямо системний адміністратор, але досвід користування і налаштування віртуальних серверів є.

VPS куплений у компанії Solidseovps, поганих відгуків на них не знайшов в мережі. Їх пропозицію знайшов на тематичному форумі lowendtalk.com. 

 

Сервер був налаштований після покупки, і все працювало ідеально. В тому числі і пошта. На сервері встановлена панель aapanel, домени підключені через cloudflare.com, записи для пошти тільки як 'dns only'.

 

Все працювало до 5 жовтня, з вечора почалися проблеми з відправкою пошти. Помітив я це по клієнту, який не може з'єднатися з сервером для відправки. 

Почав розбиратися, і побачив, що всі порти для смтп виявилися недоступні з мережі.

Причому на самому сервері порти відкриті і статус listening, в ip-tables заборон для цих портів немає. Якщо я в терміналі на цьому сервері підключаюсь до портів, все ок. Як тільки пробую з за меж сервера - конекту немає. Порти для вхідної пошти працюють і не закриті.

 

Виконую команду tcpdump для 25 порта і звертаюсь з за меж сервера, в результаті ніяких пакетів не отримую.

Я правильно розумію, якщо tcpdump не показує проходження пакетів, то проблема у блокуванні десь до сервера?

 

В техпідримку звертався неодноразово,  у них все чудово і ці порти відкриті. Кажуть, що типу проблема можливо в фаєрфолі або інших налаштуваннях сервера. 

 

Я щось в упор не бачу, через що могла виникти така проблема з портами,  чи техпідримка цієї контори тупо відрубила мені смтп порти і зараз включила ігнор?))

 

Тимчасово вирішив проблему, відкривши інший порт для смтп. Відправка працює.

Але є проблема з прийомом вхідної пошти, я так розумію, що 25 порт потрібен багатьом сервісам для системного спілкування. Через це пошта з gmail не відправляється на мій сервер, а повертається з помилками. 

 

Скрытый текст

Ip 130.117.79.183

 

Буду вдячний за поради,  бо вже тиждень шукаю проблему.

 

 

[Flint2000]

В таких випадках логи викладають. Також дивіться логи ip-tables

[spectre]

Возможно они реселлер хетцнера, а там порты разблокировать можно через поддержку)

[trialon77]

13.10.2024 в 12:54, spectre сказал:

Возможно они реселлер хетцнера, а там порты разблокировать можно через поддержку)

Ну они бы это знали наверное и разблокировали, когда я написал им.

Первый раз я написал о проблеме, они сказали да, что могут блокировать порты если рассылают много почты. 

Спросили, какую почту рассылаю. Ответил, что только транзакционные сообщения о заказах клиентам.

Никаких рассылок или новостей, а тем более спама. 

Потом сказали, что проверили и у них порты разблокированы. 

Никакие доводы, что tcpdump не получает пакеты на них не влияют. 

Даже по портам, которые заблокированы в ip-tables, tcpdump показывает прохождение пакетов.

 

 

 

[markimax]

CloudFlare дивилися?

[NotSlow]

Если уверены, что iptables или еще что-то точно не блокирует у вас, то значит остается блокировка где-то между vps и интернетом. Т.к. из вне порты у вас там действительно недоступны (скрины ниже).

Кроме поддержки vps никто вам не поможет. А если они отказываются, то выходов лишь 2:

 

1) Переехать полностью.

 

2) Если обосновались и не хочется переезжать, то перенести только почту на другую (где угодно и самую дешевую) vps, где нет таких блокировок.

MX запись домена соотв. направить на новый ip

 

Но конечно понадобится еще чтобы почта с сайта уходила через тот ваш smtp.

Можно даже установить себе msmtp (или подобный smtp прокси), которая будет ловить всю локально отправляемую почту (по php mail например) и пересылать на указанный smtp с авторизацией.

Вот только из-за блокировки вы скорей всего не сможете с ним связаться... я и с таким сталкивался. В таком случае достаточно сменить порт на какой-то нестандартный и все будет работать. Т.е. на почтовой vps открывается 25, 465, 587 как обычно и плюс один нестандартный, по которому будет связь от vps с сайтом.

Морока... потому лучше конечно первый вариант. Ну или продолжать требовать от поддержки чтоб разобрались.

 

Змінено В неділю в 10:36 користувачем NotSlow

[NotSlow]

Покажите еще lsof -i -n -P | grep :25

Вдруг там окажется, что listen есть... но только на 127.0.0.1 например

Это возможный вариант, при котором локально у вас все работает, а снаружи нет.

 

Если всеж listen именно внешний ip есть, то покажите еще iptables -S

[trialon77]

13.10.2024 в 13:44, NotSlow сказал:

Покажите еще lsof -i -n -P | grep :25

Вдруг там окажется, что listen есть... но только на 127.0.0.1 например

Это возможный вариант, при котором локально у вас все работает, а снаружи нет.

 

Если всеж listen именно внешний ip есть, то покажите еще iptables -S

lsof -i -n -P | grep :25

master      3448     root   13u  IPv4   33506      0t0  TCP *:25 (LISTEN)
master      3448     root   14u  IPv6   33507      0t0  TCP *:25 (LISTEN)

iptables -S

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-A INPUT -m set --match-set aapanel.ipv4.blacklist src -j DROP
-A INPUT -m set --match-set aapanel.ipv4.whitelist src -j ACCEPT
-A INPUT -p udp -m multiport --dports 4000,5353 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 4000 -j ACCEPT
-A INPUT -p udp -m multiport --dports 5353 -j ACCEPT
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A INPUT -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "Iptables: Ping detected: "
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "Iptables: Ping detected: "
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output

 

 

[trialon77]

13.10.2024 в 13:24, markimax сказал:

CloudFlare дивилися?

дивився, спочатку також подумав, що проблема якась з маршрутизацією церез cloudflare.

DNS налаштовані так, як рекомендовано сервісом. 

Повнісю ставив на паузу сервіс для цього сайту. Хіба, що не видаляв з cloudflare, не хочу поки робити це)

 

та і новий порт для смтп, який я відкрив, працює зараз без проблем з тими самими налаштуваннями. Тому наврядчи cloudflare винний.

Змінено В неділю в 11:42 користувачем trialon77

[NotSlow]

*:25 значит на всех ip слушает.

Да и если говорите меняли порт и все работает, то что остается? Точно блокировка где-то дальше, что тут поделать...

Можно продолжать настаивать чтоб передали вопрос кому-то более сознательному в поддержке.

Но проще конечно забить и переехать. Ну или хотябы почтой переехать как выше писал. Есть (видел по крайней мере раньше) варианты за $1/мес или около того. На тех же lowendbox/lowendtalk посмотреть. Главное пробить ip по спам базам прежде чем селиться:

https://mxtoolbox.com/blacklists.aspx

Змінено В неділю в 12:02 користувачем NotSlow