このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

firewallを起動すると,全てのポートが通らなくなる このメッセージに返信する
日時: 2021/06/28(Mon) 03:38
名前: kz2.jp
URL:
はじめまして!
質問させてください

CentOS7 にてfirewall で必要なポートを開放したのですが,firewall をON にすると,解放した全てのポートが閉じてしまいます.
なお,firewall をOFFにすると,全てのポートは問題なく開放されます.

firewall を再インストールしてみたのですが,症状は変わらない状況です.

どなたか,ご教授のほど,よろしくお願い致します.
記事編集 編集
Re: firewallを起動すると,全てのポートが通らなくなる このメッセージに返信する
日時: 2021/06/29(Tue) 20:48
名前: superweibu
URL:
まず確認します。

firewallは以下の何をつかってるのでしょうか?
iptablesやfirewalldの併用はできません。

1,firewalld
2,iptables
3,nftables
記事編集 編集
Re: firewallを起動すると,全てのポートが通らなくなる このメッセージに返信する
日時: 2021/07/02(Fri) 21:49
名前: kz2.jp
URL:
>まず確認します。
>
>firewallは以下の何をつかってるのでしょうか?
>iptablesやfirewalldの併用はできません。
>
>1,firewalld
>2,iptables
>3,nftables

失礼しました.使用しているのは, firewalld のみです.
しかし,最近症状が変わってきました.
firewalld をstop しても,ポートが開放出来ないのです.
#例えば, 25番ポートが開きません.

以下,firewalld-cmd --list-all の結果です.
[root@xxx ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eno1 eno2 eno3 eno4
sources:
services: dhcpv6-client http smtp smtp-submission smtps ssh
ports: 46904/tcp 46904/udp 143/tcp 143/udp 587/tcp 587/udp 9090/tcp 9090/udp 25/tcp 25/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule port port="25" protocol="tcp" log prefix="TEST LOG:" level="warning"
rule port port="46904" protocol="tcp" log prefix="TEST LOG:" level="warning"
rule port port="143" protocol="tcp" log prefix="TEST LOG:" level="warning"
rule port port="587" protocol="tcp" log prefix="TEST LOG:" level="warning"
rule port port="9090" protocol="tcp" log prefix="TEST LOG:" level="warning"

また,nmap の結果は以下になります.
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
143/tcp open imap
443/tcp open https
587/tcp open submission
9090/tcp open zeus-admin
10000/tcp open snet-sensor-mgmt

netstat の結果は,以下になります.
[root@xxx ~]# netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:7634 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:46904 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 192.168.1.249:143 192.168.1.199:56033 ESTABLISHED
tcp 0 0 192.168.1.249:143 192.168.1.199:51135 ESTABLISHED
tcp 0 0 192.168.1.249:143 192.168.1.199:56031 ESTABLISHED
tcp 0 116 192.168.1.239:46904 192.168.1.199:64976 ESTABLISHED
tcp 0 0 192.168.1.249:143 192.168.1.199:62076 ESTABLISHED

nmap にてポートが開いており,また netstat でLISTEN になっているにも関わらず,
しかも,firewalld をstop しているのにポートがひらきません.

ご教授のほど,よろしくお願致します.
記事編集 編集
Re: firewallを起動すると,全てのポートが通らなくなる このメッセージに返信する
日時: 2021/07/03(Sat) 08:14
名前: 松木
URL:
nmapの結果をみると、オープンしていますから、問題ないはずです。
どこから、どこに疎通確認しているのでしょうか?
途中にルーターが居るとかではないですよね?
具体的な構成と、テスト環境を教えてください。
記事編集 編集
Re: firewallを起動すると,全てのポートが通らなくなる このメッセージに返信する
日時: 2021/07/03(Sat) 16:17
名前: kz2.jp
URL:
>nmapの結果をみると、オープンしていますから、問題ないはずです。
>どこから、どこに疎通確認しているのでしょうか?
>途中にルーターが居るとかではないですよね?
>具体的な構成と、テスト環境を教えてください。

コメント,ありがとうございます.

疎通確認は,インターネット(http://www.cman.jp/network/support/go_port.cgi)から
メールサーバに対して(xxx) に対して行っております.
nmap , netstat の結果では,ポートが開いているはずなのですが,
smtp, http, 587 ポートが「アクセスできませんでした」となってしまいます.

# firewalld の話だったのですが,firewalld をstop しても,ポートが通らない状況になってしまいました.

ご教授のほど,よろしくお願い致します.
記事編集 編集
Re: firewallを起動すると,全てのポートが通らなくなる このメッセージに返信する
日時: 2021/07/03(Sat) 18:01
名前: superweibu
URL:
firewalldはよくわからないのですが、
コマンド結果を見る限りアクティブでポートは空いている状態みたいですな。


[root@xxx ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eno1 eno2 eno3 eno4
sources:
services: dhcpv6-client http smtp smtp-submission smtps ssh
ports: 46904/tcp 46904/udp 143/tcp 143/udp 587/tcp 587/udp 9090/tcp 9090/udp 25/tcp 25/udp


インターネット側からアクセスできないので、

1,ルータでインターネット側からインバウントの通信をブロックしている可能性はありませんか?
2,(interfaces: eno1 eno2 eno3 eno4)インターフェースが4つあるみたいですね。これルータ側とうまく通信できていますか?

ここら辺をチェックしてみてください。
記事編集 編集
インターネット側から全てののポートが通らなくなった このメッセージに返信する
日時: 2021/07/04(Sun) 19:47
名前: kz2.jp
URL:
コメントありがとうございます.

>2,(interfaces: eno1 eno2 eno3 eno4)インターフェースが4つあるみたいですね。これルータ側とうまく通信できていますか?
仰るとおり,4つのインタフェースがあります.

[hoge@xxx ~]$ /sbin/ifconfig eno1
eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.237 netmask 255.255.255.0 broadcast 192.168.1.255

[hoge@xxx ~]$ /sbin/ifconfig eno2
eno2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.238 netmask 255.255.255.0 broadcast 192.168.1.255

[hoge@xxx ~]$ /sbin/ifconfig eno3
eno3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.239 netmask 255.255.255.0 broadcast 192.168.1.255

[hoge@xxx ~]$ /sbin/ifconfig eno4
eno4: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.249 netmask 255.255.255.0 broadcast 192.168.1.255

eno1,2,3,4 をソースIPとして,ルータ(192.168.1.254)へping をうち確認してみました.

[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.237
PING 192.168.1.254 (192.168.1.254) from 192.168.1.237 : 56(84) bytes of data.
64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.535 ms
64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.544 ms
64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.547 ms
^C
--- 192.168.1.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2000ms
rtt min/avg/max/mdev = 0.535/0.542/0.547/0.005 ms

[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.238
PING 192.168.1.254 (192.168.1.254) from 192.168.1.238 : 56(84) bytes of data.
64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.366 ms
64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.510 ms
64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.368 ms
^C
--- 192.168.1.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2000ms
rtt min/avg/max/mdev = 0.366/0.414/0.510/0.071 ms

[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.239
PING 192.168.1.254 (192.168.1.254) from 192.168.1.239 : 56(84) bytes of data.
64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.424 ms
64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.376 ms
64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.392 ms
^C
--- 192.168.1.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2000ms
rtt min/avg/max/mdev = 0.376/0.397/0.424/0.025 ms

[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.249
PING 192.168.1.254 (192.168.1.254) from 192.168.1.249 : 56(84) bytes of data.
64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.489 ms
64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.387 ms
64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.414 ms
^C
--- 192.168.1.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 0.387/0.430/0.489/0.043 ms

どのインタフェースも問題なく,ルータ(192.168.1.254)と疎通がとれました.

>1,ルータでインターネット側からインバウントの通信をブロックしている可能性はありませんか?

こちらに関してですが,ルータは,netgear の wifi 6 を使用しているのですが,
ACL を一度OFFにしてみたところ,ポートが開放されました.
しかし,数分後に再度ポートが閉じてしまいました.
現在はまた,ポートが閉じている状態です.

何度も申し訳ありませんが,再度ご教授のほど,よろしくお願い致します.
記事編集 編集
Re: firewallを起動すると,全てのポートが通らなくなる このメッセージに返信する
日時: 2021/07/06(Tue) 10:02
名前: 松木
URL:
やはり、ルータのポートが開いていないようですね。
netgearの取説を見て、ポート開放をしてください。

ACLをOFFにして一時は疎通できるということですので
ACLにて、すべての通信を受信許可としてみてはどうでしょうか?
送信元(ソースIP)0.0.0.0 は、受信許可のような 記述はできませんか?
動作確認できたら、全許可は、危険ですので、
動作確認後、ポート25のみ許可としてください。
ACLで設定できないときは、ポートフォワーディングとか
いろんな手段で実現可能かと思います。

>コメントありがとうございます.
>
>>2,(interfaces: eno1 eno2 eno3 eno4)インターフェースが4つあるみたいですね。これルータ側とうまく通信できていますか?
>仰るとおり,4つのインタフェースがあります.
>
>[hoge@xxx ~]$ /sbin/ifconfig eno1
>eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
> inet 192.168.1.237 netmask 255.255.255.0 broadcast 192.168.1.255
>
>[hoge@xxx ~]$ /sbin/ifconfig eno2
>eno2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
> inet 192.168.1.238 netmask 255.255.255.0 broadcast 192.168.1.255
>
>[hoge@xxx ~]$ /sbin/ifconfig eno3
>eno3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
> inet 192.168.1.239 netmask 255.255.255.0 broadcast 192.168.1.255
>
>[hoge@xxx ~]$ /sbin/ifconfig eno4
>eno4: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
> inet 192.168.1.249 netmask 255.255.255.0 broadcast 192.168.1.255
>
>eno1,2,3,4 をソースIPとして,ルータ(192.168.1.254)へping をうち確認してみました.
>
>[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.237
>PING 192.168.1.254 (192.168.1.254) from 192.168.1.237 : 56(84) bytes of data.
>64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.535 ms
>64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.544 ms
>64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.547 ms
>^C
>--- 192.168.1.254 ping statistics ---
>3 packets transmitted, 3 received, 0% packet loss, time 2000ms
>rtt min/avg/max/mdev = 0.535/0.542/0.547/0.005 ms
>
>[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.238
>PING 192.168.1.254 (192.168.1.254) from 192.168.1.238 : 56(84) bytes of data.
>64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.366 ms
>64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.510 ms
>64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.368 ms
>^C
>--- 192.168.1.254 ping statistics ---
>3 packets transmitted, 3 received, 0% packet loss, time 2000ms
>rtt min/avg/max/mdev = 0.366/0.414/0.510/0.071 ms
>
>[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.239
>PING 192.168.1.254 (192.168.1.254) from 192.168.1.239 : 56(84) bytes of data.
>64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.424 ms
>64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.376 ms
>64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.392 ms
>^C
>--- 192.168.1.254 ping statistics ---
>3 packets transmitted, 3 received, 0% packet loss, time 2000ms
>rtt min/avg/max/mdev = 0.376/0.397/0.424/0.025 ms
>
>[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.249
>PING 192.168.1.254 (192.168.1.254) from 192.168.1.249 : 56(84) bytes of data.
>64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.489 ms
>64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.387 ms
>64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.414 ms
>^C
>--- 192.168.1.254 ping statistics ---
>3 packets transmitted, 3 received, 0% packet loss, time 1999ms
>rtt min/avg/max/mdev = 0.387/0.430/0.489/0.043 ms
>
>どのインタフェースも問題なく,ルータ(192.168.1.254)と疎通がとれました.
>
>>1,ルータでインターネット側からインバウントの通信をブロックしている可能性はありませんか?
>
>こちらに関してですが,ルータは,netgear の wifi 6 を使用しているのですが,
>ACL を一度OFFにしてみたところ,ポートが開放されました.
>しかし,数分後に再度ポートが閉じてしまいました.
>現在はまた,ポートが閉じている状態です.
>
>何度も申し訳ありませんが,再度ご教授のほど,よろしくお願い致します.
記事編集 編集
Re: firewallを起動すると,全てのポートが通らなくなる このメッセージに返信する
日時: 2021/07/06(Tue) 22:59
名前: kz2.jp
URL:
コメントありがとうございます.

仰るとおり(予想通り?),netgearルータのポートが開放されていなかったです.
もしやと思い,ファームのVerを上げ,再起動した結果,
外部からのメールの受信や,ssh のポートが正常に開きました.

松木様の仰るとおり,全て開くのは危険なので,ポートフォワード
にて対応することにしました.

netgear は故障?が多いとよく聞きますが,やはりCiscoや日本製
の製品の方が安定して動作してくれるかもしれないですね.

長い間,本当にありがとうございました.

>やはり、ルータのポートが開いていないようですね。
>netgearの取説を見て、ポート開放をしてください。
>
>ACLをOFFにして一時は疎通できるということですので
>ACLにて、すべての通信を受信許可としてみてはどうでしょうか?
>送信元(ソースIP)0.0.0.0 は、受信許可のような 記述はできませんか?
>動作確認できたら、全許可は、危険ですので、
>動作確認後、ポート25のみ許可としてください。
>ACLで設定できないときは、ポートフォワーディングとか
>いろんな手段で実現可能かと思います。
>
>>コメントありがとうございます.
>>
>>>2,(interfaces: eno1 eno2 eno3 eno4)インターフェースが4つあるみたいですね。これルータ側とうまく通信できていますか?
>>仰るとおり,4つのインタフェースがあります.
>>
>>[hoge@xxx ~]$ /sbin/ifconfig eno1
>>eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
>> inet 192.168.1.237 netmask 255.255.255.0 broadcast 192.168.1.255
>>
>>[hoge@xxx ~]$ /sbin/ifconfig eno2
>>eno2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
>> inet 192.168.1.238 netmask 255.255.255.0 broadcast 192.168.1.255
>>
>>[hoge@xxx ~]$ /sbin/ifconfig eno3
>>eno3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
>> inet 192.168.1.239 netmask 255.255.255.0 broadcast 192.168.1.255
>>
>>[hoge@xxx ~]$ /sbin/ifconfig eno4
>>eno4: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
>> inet 192.168.1.249 netmask 255.255.255.0 broadcast 192.168.1.255
>>
>>eno1,2,3,4 をソースIPとして,ルータ(192.168.1.254)へping をうち確認してみました.
>>
>>[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.237
>>PING 192.168.1.254 (192.168.1.254) from 192.168.1.237 : 56(84) bytes of data.
>>64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.535 ms
>>64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.544 ms
>>64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.547 ms
>>^C
>>--- 192.168.1.254 ping statistics ---
>>3 packets transmitted, 3 received, 0% packet loss, time 2000ms
>>rtt min/avg/max/mdev = 0.535/0.542/0.547/0.005 ms
>>
>>[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.238
>>PING 192.168.1.254 (192.168.1.254) from 192.168.1.238 : 56(84) bytes of data.
>>64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.366 ms
>>64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.510 ms
>>64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.368 ms
>>^C
>>--- 192.168.1.254 ping statistics ---
>>3 packets transmitted, 3 received, 0% packet loss, time 2000ms
>>rtt min/avg/max/mdev = 0.366/0.414/0.510/0.071 ms
>>
>>[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.239
>>PING 192.168.1.254 (192.168.1.254) from 192.168.1.239 : 56(84) bytes of data.
>>64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.424 ms
>>64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.376 ms
>>64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.392 ms
>>^C
>>--- 192.168.1.254 ping statistics ---
>>3 packets transmitted, 3 received, 0% packet loss, time 2000ms
>>rtt min/avg/max/mdev = 0.376/0.397/0.424/0.025 ms
>>
>>[hoge@xxx ~]$ ping 192.168.1.254 -I 192.168.1.249
>>PING 192.168.1.254 (192.168.1.254) from 192.168.1.249 : 56(84) bytes of data.
>>64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.489 ms
>>64 bytes from 192.168.1.254: icmp_seq=2 ttl=64 time=0.387 ms
>>64 bytes from 192.168.1.254: icmp_seq=3 ttl=64 time=0.414 ms
>>^C
>>--- 192.168.1.254 ping statistics ---
>>3 packets transmitted, 3 received, 0% packet loss, time 1999ms
>>rtt min/avg/max/mdev = 0.387/0.430/0.489/0.043 ms
>>
>>どのインタフェースも問題なく,ルータ(192.168.1.254)と疎通がとれました.
>>
>>>1,ルータでインターネット側からインバウントの通信をブロックしている可能性はありませんか?
>>
>>こちらに関してですが,ルータは,netgear の wifi 6 を使用しているのですが,
>>ACL を一度OFFにしてみたところ,ポートが開放されました.
>>しかし,数分後に再度ポートが閉じてしまいました.
>>現在はまた,ポートが閉じている状態です.
>>
>>何度も申し訳ありませんが,再度ご教授のほど,よろしくお願い致します.
記事編集 編集
Re: firewallを起動すると,全てのポートが通らなくなる このメッセージに返信する
日時: 2021/07/06(Tue) 23:04
名前: kz2.jp
URL:
kz2.jp です.

> 皆様
色々とコメント頂き,ありがとうございました.
ルータが原因であることが分かり,ほっとした
のですが,肝心のfirewalld の設定は未だ解
決しておりません.

ポートフォワードに関しては問題解決出来,インターネット側から
アクセスすることが出来たのですが, firewalld を起動させると,25番ポートや
587番ポート,993/995ポートが閉じられてしまいます.

現在のfirewalld の設定は以下になっております.

+++++++++++++++++++++++++++++++++++++++++++++
[root@xxx ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eno1 eno2 eno3 eno4
sources:
services: dhcpv6-client http smtp smtp-submission smtps ssh
ports: 46904/tcp 46904/udp 143/tcp 143/udp 587/tcp 587/udp 9090/tcp 9090/udp 25/tcp 25/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
+++++++++++++++++++++++++++++++++++++++++++++

一度「firewalld」をアンインストールし,再度インストールし,再設定したのですが
NGでした.

どなたか,firewalld に関して,ご教授のほど,よろしくお願い致します.
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -