Nach apt-.get dist-upgrade und ISPCONFIG neueste Version habe ich Probleme. Bei der Systemübersicht werden alle Dienste Offline gemeldet und in der SSH Shell kann ich mich nicht mehr auf localhost mit Telnet an irgendeinen Dienst verbinden.
mysql -u ispconfig -h 127.0.0.1 -p bringt
mysql -u ispconfig -h 127.0.0.1 -pERROR 2003 (HY000): Can't connect to MySQL server on '127.0.0.1' (110)
Telnet localhost 3306 gleiches Ergebnis, keine Verbindung
Damit läuft mein wichtigster Dienst, mein Mailserver natürlich auch nicht, da der sich nicht per localhost auf den MySQL verbinden kann (wie im mail.log zu lesen ist.)
Ich glaube verstanden zu haben, dass das wohl an IPTABLES liegt, aber ich habe keine Ahnung, was ich jetzt wo ändern muss, damit mein Mailserver und alle anderen wieder funktionieren. Mein Server ist ein Debian Wheezy bei WebGO24 und lief vor dem Upgrade einwandfrei. Nach Systemneustart des ganzen Systems tritt jetzt das o.a. auf. Kann ich die Firewallregeln selbst passend machen, damit vor allem mein Mailserver wieder läuft?
iptables-save gibt folgendes aus, ich finde aber die Regel nicht, wo der localhost traffice verboten wird, bin aber auch nicht der Firewall Experte.
Danke schonmal
Henri
# Generated by iptables-save v1.4.14 on Mon Jul 31 01:37:33 2017
*nat
REROUTING ACCEPT [579:30645]
OSTROUTING ACCEPT [120:7853]
:OUTPUT ACCEPT [120:7853]
COMMIT
# Completed on Mon Jul 31 01:37:33 2017
# Generated by iptables-save v1.4.14 on Mon Jul 31 01:37:33 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [33:1980]
:INT_IN - [0:0]
:INT_OUT - [0:0]
AROLE - [0:0]
UB_IN - [0:0]
UB_OUT - [0:0]
:fail2ban-dovecot-pop3imap - [0:0]
:fail2ban-pureftpd - [0:0]
:fail2ban-sasl - [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 25 -j fail2ban-sasl
-A INPUT -d 127.0.0.0/8 ! -i lo -p tcp -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 224.0.0.0/4 -j DROP
-A INPUT -i eth+ -j PUB_IN
-A INPUT -i ppp+ -j PUB_IN
-A INPUT -i slip+ -j PUB_IN
-A INPUT -i venet+ -j PUB_IN
-A INPUT -i bond+ -j PUB_IN
-A INPUT -i en+ -j PUB_IN
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -o eth+ -j PUB_OUT
-A OUTPUT -o ppp+ -j PUB_OUT
-A OUTPUT -o slip+ -j PUB_OUT
-A OUTPUT -o venet+ -j PUB_OUT
-A OUTPUT -o bond+ -j PUB_OUT
-A OUTPUT -o en+ -j PUB_OUT
-A INT_IN -p icmp -j ACCEPT
-A INT_IN -j ACCEPT
-A INT_OUT -p icmp -j ACCEPT
-A INT_OUT -j ACCEPT
-A PAROLE -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A PUB_IN -p tcp -m tcp --dport 20 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 21 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 22 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 25 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 53 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 80 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 110 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 143 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 443 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 587 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 993 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 995 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 3306 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 8080 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 8081 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 10000 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 10011 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 30033 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 41144 -j PAROLE
-A PUB_IN -p udp -m udp --dport 53 -j ACCEPT
-A PUB_IN -p udp -m udp --dport 3306 -j ACCEPT
-A PUB_IN -p udp -m udp --dport 9987 -j ACCEPT
-A PUB_IN -p icmp -j DROP
-A PUB_IN -j DROP
-A PUB_OUT -j ACCEPT
-A fail2ban-dovecot-pop3imap -j RETURN
-A fail2ban-pureftpd -j RETURN
-A fail2ban-sasl -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Mon Jul 31 01:37:33 2017
# Generated by iptables-save v1.4.14 on Mon Jul 31 01:37:33 2017
*mangle
REROUTING ACCEPT [6406:734921]
:INPUT ACCEPT [6400:734657]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5063:744442]
OSTROUTING ACCEPT [5063:744442]
COMMIT
# Completed on Mon Jul 31 01:37:33 2017
# Generated by iptables-save v1.4.14 on Mon Jul 31 01:37:33 2017
*raw
REROUTING ACCEPT [6406:734921]
:OUTPUT ACCEPT [5063:744442]
COMMIT
# Completed on Mon Jul 31 01:37:33 2017
mysql -u ispconfig -h 127.0.0.1 -p bringt
mysql -u ispconfig -h 127.0.0.1 -pERROR 2003 (HY000): Can't connect to MySQL server on '127.0.0.1' (110)
Telnet localhost 3306 gleiches Ergebnis, keine Verbindung
Damit läuft mein wichtigster Dienst, mein Mailserver natürlich auch nicht, da der sich nicht per localhost auf den MySQL verbinden kann (wie im mail.log zu lesen ist.)
Ich glaube verstanden zu haben, dass das wohl an IPTABLES liegt, aber ich habe keine Ahnung, was ich jetzt wo ändern muss, damit mein Mailserver und alle anderen wieder funktionieren. Mein Server ist ein Debian Wheezy bei WebGO24 und lief vor dem Upgrade einwandfrei. Nach Systemneustart des ganzen Systems tritt jetzt das o.a. auf. Kann ich die Firewallregeln selbst passend machen, damit vor allem mein Mailserver wieder läuft?
iptables-save gibt folgendes aus, ich finde aber die Regel nicht, wo der localhost traffice verboten wird, bin aber auch nicht der Firewall Experte.
Danke schonmal
Henri
# Generated by iptables-save v1.4.14 on Mon Jul 31 01:37:33 2017
*nat
REROUTING ACCEPT [579:30645]OSTROUTING ACCEPT [120:7853]:OUTPUT ACCEPT [120:7853]
COMMIT
# Completed on Mon Jul 31 01:37:33 2017
# Generated by iptables-save v1.4.14 on Mon Jul 31 01:37:33 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [33:1980]
:INT_IN - [0:0]
:INT_OUT - [0:0]
AROLE - [0:0]UB_IN - [0:0]UB_OUT - [0:0]:fail2ban-dovecot-pop3imap - [0:0]
:fail2ban-pureftpd - [0:0]
:fail2ban-sasl - [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 25 -j fail2ban-sasl
-A INPUT -d 127.0.0.0/8 ! -i lo -p tcp -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 224.0.0.0/4 -j DROP
-A INPUT -i eth+ -j PUB_IN
-A INPUT -i ppp+ -j PUB_IN
-A INPUT -i slip+ -j PUB_IN
-A INPUT -i venet+ -j PUB_IN
-A INPUT -i bond+ -j PUB_IN
-A INPUT -i en+ -j PUB_IN
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -o eth+ -j PUB_OUT
-A OUTPUT -o ppp+ -j PUB_OUT
-A OUTPUT -o slip+ -j PUB_OUT
-A OUTPUT -o venet+ -j PUB_OUT
-A OUTPUT -o bond+ -j PUB_OUT
-A OUTPUT -o en+ -j PUB_OUT
-A INT_IN -p icmp -j ACCEPT
-A INT_IN -j ACCEPT
-A INT_OUT -p icmp -j ACCEPT
-A INT_OUT -j ACCEPT
-A PAROLE -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A PUB_IN -p tcp -m tcp --dport 20 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 21 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 22 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 25 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 53 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 80 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 110 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 143 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 443 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 587 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 993 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 995 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 3306 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 8080 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 8081 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 10000 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 10011 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 30033 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 41144 -j PAROLE
-A PUB_IN -p udp -m udp --dport 53 -j ACCEPT
-A PUB_IN -p udp -m udp --dport 3306 -j ACCEPT
-A PUB_IN -p udp -m udp --dport 9987 -j ACCEPT
-A PUB_IN -p icmp -j DROP
-A PUB_IN -j DROP
-A PUB_OUT -j ACCEPT
-A fail2ban-dovecot-pop3imap -j RETURN
-A fail2ban-pureftpd -j RETURN
-A fail2ban-sasl -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Mon Jul 31 01:37:33 2017
# Generated by iptables-save v1.4.14 on Mon Jul 31 01:37:33 2017
*mangle
REROUTING ACCEPT [6406:734921]:INPUT ACCEPT [6400:734657]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5063:744442]
OSTROUTING ACCEPT [5063:744442]COMMIT
# Completed on Mon Jul 31 01:37:33 2017
# Generated by iptables-save v1.4.14 on Mon Jul 31 01:37:33 2017
*raw
REROUTING ACCEPT [6406:734921]:OUTPUT ACCEPT [5063:744442]
COMMIT
# Completed on Mon Jul 31 01:37:33 2017