我已经使用端口 2525 作为备用邮件端口一段时间了,几乎没有遇到什么问题,但是,它总是不时发出 nagios 警报,提示服务不可用,当我登录或尝试远程登录到该端口时,没有任何问题,日志中没有任何内容,也没有任何其他问题的迹象。偶尔我会尝试通过该端口发送邮件,但会得到服务器不可用的信息,重试后一切正常。
我只是想知道是否有其他东西可以阻止/尝试该端口?或者它是否在其他地方设置了限制 - 除了 xinetd。
- xinet 限制为 100 个连接,对于实际使用它的用户数量来说,这应该是非常多的(可能有十几个)
- 我限制 proftpd 使用高于该级别的非特权端口,以防 ftp 用户垄断该端口……但事实并非如此。
- 扫描了木马等,没有发现
有点被这个问题难住了,因为时不时我会收到邮件用户抱怨并描述我看到的相同症状...我在端口 25 和 26 上有相同的 nagios 监视器,它们从不警报,只有 2525...
-困惑!-肖恩
答案1
我会在服务器上运行数据包跟踪,例如
tcpdump -i eth0 -w /path/to/savefile dst port 2525 and tcp[13]==2
这将捕获发送到服务器上端口 2525 的所有 syn 数据包。然后您可以使用 tcpdump 的“-r”选项解析这些数据包。
或者,您可以使用 iptables 规则来做同样的事情:
iptables -A INPUT -p tcp -dport 2525 --tcp-flags SYN,ACK SYN -j LOG \
--log-prefix="mail_traffic"
它将记录任何设置了 syn 标志的数据包,但不会记录从该端口传入的 ACK。
然后,您可以使用该数据与您的 nagios 警报进行关联,并可能找出导致警报的原因。