# kein mail versand bei aktiver firewall



## SandMan (1. Jan. 2009)

Wenn ich in ISPConfig die Firewall aktiviere, werden die mails vom Server nicht weiter verschickt.

Getestet habe ich mit Thunderbird an web.de und hotmail, bei ausgeschalteter Firewall klappts prima, nur bei eingeschalteter gehts nicht, muss da noch was eingestellt werden?

2. Frage:
pop3 und smtp laufen ja schon prima mit tls nach dem perfect setup, ist es möglich dem ftp server auch tls beizubringen, eigentlich müsste das ja selbstverständlich sein oder? ^^


----------



## planet_fox (1. Jan. 2009)

schau mal was los dir folgendes ausgibt wenn du die firewall an hast von isp


```
sudo netstat -taupen
```


----------



## SandMan (1. Jan. 2009)

```
sandman:/# sudo netstat -taupen
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN     103        3378626704 -
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN     0          3378719634 -
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN     105        3490330901 -
tcp        0      0 **.***.**.***:53        0.0.0.0:*               LISTEN     0          3378785445 -
tcp        0      0 **.***.**.***:53        0.0.0.0:*               LISTEN     0          3378785443 -
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN     0          3378785441 -
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN     0          3490346830 -
tcp        0      0 127.0.0.1:51704         127.0.0.1:80            TIME_WAIT  0          0          -
tcp        0      0 127.0.0.1:39640         127.0.0.1:53            TIME_WAIT  0          0          -
tcp        0      0 127.0.0.1:51505         127.0.0.1:21            TIME_WAIT  0          0          -
tcp6       0      0 :::993                  :::*                    LISTEN     0          3378629663 -
tcp6       0      0 :::995                  :::*                    LISTEN     0          3378629798 -
tcp6       0      0 :::22314                :::*                    LISTEN     0          3378655270 -
tcp6       0      0 :::110                  :::*                    LISTEN     0          3378629691 -
tcp6       0      0 :::143                  :::*                    LISTEN     0          3378629667 -
tcp6       0      0 :::80                   :::*                    LISTEN     0          3378739185 -
tcp6       0      0 :::53                   :::*                    LISTEN     0          3378785438 -
tcp6       0      0 :::25                   :::*                    LISTEN     0          3490346831 -
tcp6       0      0 :::443                  :::*                    LISTEN     0          3378739190 -
tcp6       0   1532 ::ffff:**.***.**.:22314 ::ffff:**.**.***.:33341 ESTABLISHED0          3734222684 -
udp        0      0 0.0.0.0:517             0.0.0.0:*                          0          3378631078 -
udp        0      0 0.0.0.0:518             0.0.0.0:*                          0          3378631080 -
udp        0      0 **.***.**.***:53        0.0.0.0:*                          0          3378785444 -
udp        0      0 **.***.**.***:53        0.0.0.0:*                          0          3378785442 -
udp        0      0 127.0.0.1:53            0.0.0.0:*                          0          3378785440 -
udp        0      0 0.0.0.0:57313           0.0.0.0:*                          0          3378785816 -
udp        0      0 **.***.**.***:123       0.0.0.0:*                          0          3378655834 -
udp        0      0 **.***.**.***:123       0.0.0.0:*                          0          3378655833 -
udp        0      0 127.0.0.1:123           0.0.0.0:*                          0          3378655832 -
udp        0      0 127.0.0.1:123           0.0.0.0:*                          0          3378655831 -
udp        0      0 0.0.0.0:123             0.0.0.0:*                          0          3378655828 -
udp6       0      0 :::53                   :::*                               0          3378785437 -
udp6       0      0 :::57322                :::*                               0          3378785817 -
udp6       0      0 ::1:123                 :::*                               0          3378655830 -
udp6       0      0 :::123                  :::*                               0          3378655829 -
sandman:/#
```
meine IP habe ich jeweils mit ** ersetzt


----------



## Till (2. Jan. 2009)

Von welcher Firewall sprichst du? Der Firewall der Linux Distribution oder de von ISPConfig?


----------



## SandMan (2. Jan. 2009)

Zitat von SandMan:


> Wenn ich in ISPConfig die Firewall aktiviere, werden die mails vom Server nicht weiter verschickt.


die Firewall von debian habe ich nicht verändert...


----------



## Till (2. Jan. 2009)

Ok, von welcher Firewall sprixhst Du dann? Der von ISPConfig? Und hast Du eine Firewall von Debian installiert?


----------



## SandMan (2. Jan. 2009)

anscheinend reden wir hier aneinander vorbei?

Ich rede von der Firewall, welche in ISPConfig aktiviert werden kann. 

Eine andere Firewall habe ich nicht, jedenfalls weis ich von keiner  wie schau ich denn am besten nach ob noch eine andere läuft, da ich nicht genau weis was mein hoster alles am image von debian verändert hat?


----------



## Till (3. Jan. 2009)

Ok, dann poste mal die Ausgabe von:

iptables -L


----------



## SandMan (3. Jan. 2009)

firewall aus:

```
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-postfix  tcp  --  anywhere             anywhere            tcp dpt:smtp
           0    --  anywhere             mein-server.xy

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
           0    --  anywhere            mein-server.xy

Chain fail2ban-apache (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-courierimap (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-courierpop3 (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-postfix (1 references)
target     prot opt source               destination
DROP       0    --  xx.xxx.xxx.xxx        anywhere
RETURN     0    --  anywhere             anywhere

Chain fail2ban-proftpd (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-sasl (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-ssh (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere
sandman:/#
```
firewall an:

```
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-postfix  tcp  --  anywhere             anywhere            tcp dpt:smtp
           0    --  anywhere             mein-server.xy

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
           0    --  anywhere            mein-server.xy

Chain fail2ban-apache (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-courierimap (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-courierpop3 (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-postfix (1 references)
target     prot opt source               destination
DROP       0    --  xx.xx.xx.xx        anywhere
RETURN     0    --  anywhere             anywhere

Chain fail2ban-proftpd (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-sasl (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere

Chain fail2ban-ssh (0 references)
target     prot opt source               destination
RETURN     0    --  anywhere             anywhere
sandman:/#
```


----------



## Till (3. Jan. 2009)

Ich vermute dass Deine fail2ban Konfiguration mit der Firewall kollidiert. Wenn Du eine Firewall nutzen möchtest, dann solltest Du fail2ban so konfigurieren dass es z.B. den route Befehl zum blocken von Verbindungen nimmt und nicht iptables.


----------



## SandMan (3. Jan. 2009)

also die nachrichten bleiben in der warteschlange drin 

sandman:/# mailq
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
D4EE84B370522      886 Sat Jan  3 17:53:49  mail@meine-domain.xy
(Host or domain name not found. Name service error for name=web.de type=MX: Host not found, try again)
xyxyxyxy@web.de

761984B370520     1364 Sat Jan  3 17:59:58  mail@meine-domain.xy
(Host or domain name not found. Name service error for name=web.de type=MX: Host not found, try again)
xyxyxyx@web.de


----------



## Till (3. Jan. 2009)

> aber ich kann keine mails versenden bzw. kommen die nie an...


ok, das ist vermutlich was anderes. Betreibst Du Deinen Server an einer DSL leitung oder sowas?


----------



## SandMan (3. Jan. 2009)

oh da warste aber schnell mit dem antworten, habe meinen post oben verändert ^^

jedenfalls steht mein server in einem Niederländischem Rechenzentrum


----------



## Till (4. Jan. 2009)

Ich vermute Du hast ein Problem mit der Namensauflösung. Schau bitte mal in die /etc/resolv.conf und stell sicher dass die dort gelisteten Nameserver funktionieren und von Deinem Server aus erreichbar sind.


----------



## SandMan (4. Jan. 2009)

ohne Firewall sind diese ja erreichbar, nur bei eingeschalteter nicht! In /etc/resolv.conf stand 2 x die gleiche IP vom Nameserver, ist das normal?


----------



## Till (4. Jan. 2009)

Ok, und Du hast fail2ban umkonfiguriert, wie ich es Dir empfohlen habe? Wenn ja, dann poste bitte nochmal die Ausgabe von:

iptables -L


----------



## SandMan (4. Jan. 2009)

ich habe es noch nicht umgeändert, ich finde dazu keine Anleitungen  fällt dir zufällig eine ein?


----------



## Till (5. Jan. 2009)

In Tutorial dafür wüsste ich jetzt nicht. Aber schau mal in die fail2ban Config Datei rein, da muss man irgendwo einstellen können dass er anstatt iptables den route Befehl nutzt.


----------



## SandMan (5. Jan. 2009)

hm also ich habe fail2ban deinstalliert ohne das es was gebracht hat


----------



## Till (5. Jan. 2009)

Poste bitte nochmal die Ausgabe von:

iptables -L


----------



## SandMan (11. Jan. 2009)

wenn ich die firewall manuell über die console restarte erhalte ich folgendes:


```
sandman:/etc/init.d# /etc/init.d/bastille-firewall restart
modprobe: Can't open dependencies file /lib/modules/2.6.18-028stab057.6.areca.test-ent/modules.dep (No such file or directory)
modprobe: Can't open dependencies file /lib/modules/2.6.18-028stab057.6.areca.test-ent/modules.dep (No such file or directory)
iptables v1.3.6: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
modprobe: Can't open dependencies file /lib/modules/2.6.18-028stab057.6.areca.test-ent/modules.dep (No such file or directory)
iptables v1.3.6: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
modprobe: Can't open dependencies file /lib/modules/2.6.18-028stab057.6.areca.test-ent/modules.dep (No such file or directory)
modprobe: Can't open dependencies file /lib/modules/2.6.18-028stab057.6.areca.test-ent/modules.dep (No such file or directory)
modprobe: Can't open dependencies file /lib/modules/2.6.18-028stab057.6.areca.test-ent/modules.dep (No such file or directory)
Setting up IP spoofing protection... done.
Allowing traffic from trusted interfaces... done.
Setting up chains for public/internal interface traffic... done.
Setting up general rules... done.
Setting up outbound rules... done.
```
ist das normal?


----------



## Till (13. Jan. 2009)

ist das ein virtueller server?


----------



## SandMan (13. Jan. 2009)

ja ist es, liegt da das problem?


----------



## Till (13. Jan. 2009)

Vermutlich ja. Auf einigen virtuellen Server Lösungen kannst Du keine eigene Firewall betreiben.


----------



## SandMan (13. Jan. 2009)

vorher lief Confixx auch mit einer Firewall daher nahm ich an das es dadurch auf jeden Fall gehen müsste


----------



## Till (13. Jan. 2009)

An dem Fehler ist nichts ISPConfig spezifisches, insbesondere da die Firewall selber von dem Bastille Projekt und nicht von uns entwickelt wurde. laut der Fehlermeldung kann ein Kernel Modul nicht geladen werden, die Firewall selbst sollte aber gehen. Du kannst es ja mit iptables -L nachsehen.


----------



## SandMan (13. Jan. 2009)

hm du hast recht sie läuft, daher findet postfix ja auch keine domains mehr für die mails weiterzuleiten ^^

aber ich denke in dem Entwicklerforum der Firewall kann man mir sicherlich bei dem Problem besser helfen. Dachte zuerst ja das ihr auch die Firewall entwickelt habt 

aber schonmal vielen Dank für deine Hilfe, finde ich echt gut das du noobs wie mir ohne motzen wie man es aus anderen foren kennt hilfst!


----------



## rolandhartl (14. Feb. 2009)

Zitat von SandMan:


> Wenn ich in ISPConfig die Firewall aktiviere, werden die mails vom Server nicht weiter verschickt.
> 
> Getestet habe ich mit Thunderbird an web.de und hotmail, bei ausgeschalteter Firewall klappts prima, nur bei eingeschalteter gehts nicht, muss da noch was eingestellt werden?
> 
> ...


Ich habe da mal eine Frage, sorry bin newbee. Zumindest scheinen Sie Emails überhaupt versenden und empfangen zu können. Wir können das nicht, und wissen nicht warum. Habe auch gerade eben ein neues Thema im Forum unter Allgemein eröffnet. Vielleicht haben Sie Scrrenshots von der Einstellung oder können helfen?

mfg Roland Hartl


----------



## SandMan (14. Feb. 2009)

was sagen die logs von postfix? Wurde die Firewall mal testweise ausgeschaltet?


----------



## rolandhartl (14. Feb. 2009)

danke für antwort:
postfix: da bin ich noch zu blöd, wie kann ich das abfragen?
firewall: die firewall von ispconfig ist ausgeschaltet, ich muss das aber jetzt gleich überprüfen
mfg
roland hartl


----------



## SandMan (14. Feb. 2009)

die logs liegen unter /var/log/mail.*


----------

