问题
如何使用firewalld 将特权的 1024 以下端口转发到非特权的 1024+ 端口?
原因
我们为什么要这样做?我们希望能够切换网关上的非特权 1050 端口并使用不同的上游邮件服务器。例如,要测试不同的垃圾邮件解决方案,请使用端口 1051 将邮件发送到具有不同垃圾邮件过滤解决方案的不同邮件服务器。
邮件服务器启动时会自动连接到网关。自动连接只能在 1024+ 的非特权端口上进行。
布局和设置
布局
+--------+ +---------------------+ +----------------+
| WAN | | 1050 | <- | |
| Client | | Gateway | \ | Mail Server |
| | <---> | 25 | -> | 25 |
+--------+ +---------------------+ +----------------+
设置防火墙
清除防火墙,打开端口,设置端口转发,并添加一些服务。
root@gateway:~# firewall-cmd --reload
root@gateway:~# firewall-cmd --zone=public --add-port=25/tcp
root@gateway:~# firewall-cmd --zone=public --add-forward-port=port=25:proto=tcp:toport=1050
root@gateway:~# firewall-cmd --add-service={http,https,smtp}
验证防火墙
确认防火墙设置...
root@gateway:~# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: etho0
sources:
services: dhcpv6-client http https smtp ssh
ports: 25/tcp
protocols:
masquerade: no
forward-ports: port=25:proto=tcp:toport=1050:toaddr=
source-ports:
icmp-blocks:
rich rules:
这正是我们希望在防火墙规则中看到的内容。
结果
这是我们通过 telnet 连接网关上的上游邮件服务器时得到的结果...
root@gateway:~# telnet localhost 1050
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 debian10email.debian10email ESMTP Postfix (Debian/GNU)
这是我们从远程客户端机器获得的信息……
client@client123:~$ telnet gateway.example.org 25
Trying <IP_of_gateway>...
Connected to gateway.example.org.
Escape character is '^]'.
我们也期望看到这220 debian10email.debian10email ESMTP Postfix (Debian/GNU)条线,但是没有。
完整性检查...
考试
只是为了确认端口转发规则是否正确写入,我们......
- 在防火墙上打开端口1025。
- 端口转发 1025 至 1050
- 然后检查我们在远程客户端上看到的内容。
调整防火墙
清除防火墙,打开端口,设置端口转发和一些服务。
root@gateway:~# firewall-cmd --reload
root@gateway:~# firewall-cmd --zone=public --add-port=1025/tcp
root@gateway:~# firewall-cmd --zone=public --add-forward-port=port=1025:proto=tcp:toport=1050
root@gateway:~# firewall-cmd --add-service={http,https,smtp}
验证防火墙
root@gateway:~# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: etho0
sources:
services: dhcpv6-client http https smtp ssh
ports: 1025/tcp
protocols:
masquerade: no
forward-ports: port=1025:proto=tcp:toport=1050:toaddr=
source-ports:
icmp-blocks:
rich rules:
结果
client@client123:~$ telnet gateway.example.org 1025
Trying <IP_of_gateway>...
Connected to gateway.example.org.
Escape character is '^]'.
220 debian10email.debian10email ESMTP Postfix (Debian/GNU)
我们有预期的220 debian10email.debian10email ESMTP Postfix (Debian/GNU)线路,因此防火墙按预期进行端口转发。
结论
特权端口和非特权端口之间的转发与非特权端口之间的转发不同。
如何在 Debian 10 Buster 上使用防火墙将特权的 1024 以下端口转发到非特权的 1024+ 端口?如果某处有答案,请指出。我们还没能找到它。
答案1
您的防火墙配置看起来正确。您测试的机器是否允许与端口 25 建立传出连接?请尝试从其他机器进行测试。