如何使用firewalld 将特权的 1024 以下端口转发到非特权的 1024+ 端口?

如何使用firewalld 将特权的 1024 以下端口转发到非特权的 1024+ 端口?

问题

如何使用firewalld 将特权的 1024 以下端口转发到非特权的 1024+ 端口?

原因

我们为什么要这样做?我们希望能够切换网关上的非特权 1050 端口并使用不同的上游邮件服务器。例如,要测试不同的垃圾邮件解决方案,请使用端口 1051 将邮件发送到具有不同垃圾邮件过滤解决方案的不同邮件服务器。

邮件服务器启动时会自动连接到网关。自动连接只能在 1024+ 的非特权端口上进行。

布局和设置

布局

+--------+         +---------------------+         +----------------+
|  WAN   |         |                1050 | <-      |                |
| Client |         |       Gateway       |    \    |   Mail Server  |
|        |  <--->  | 25                  |      -> | 25             |
+--------+         +---------------------+         +----------------+

设置防火墙

清除防火墙,打开端口,设置端口转发,并添加一些服务。

root@gateway:~# firewall-cmd --reload
root@gateway:~# firewall-cmd --zone=public --add-port=25/tcp
root@gateway:~# firewall-cmd --zone=public --add-forward-port=port=25:proto=tcp:toport=1050
root@gateway:~# firewall-cmd --add-service={http,https,smtp}

验证防火墙

确认防火墙设置...

root@gateway:~# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: etho0
  sources: 
  services: dhcpv6-client http https smtp ssh
  ports: 25/tcp
  protocols: 
  masquerade: no
  forward-ports: port=25:proto=tcp:toport=1050:toaddr=
  source-ports: 
  icmp-blocks: 
  rich rules: 

这正是我们希望在防火墙规则中看到的内容。

结果

这是我们通过 telnet 连接网关上的上游邮件服务器时得到的结果...

root@gateway:~# telnet localhost 1050
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 debian10email.debian10email ESMTP Postfix (Debian/GNU)

这是我们从远程客户端机器获得的信息……

client@client123:~$ telnet gateway.example.org 25
Trying <IP_of_gateway>...
Connected to gateway.example.org.
Escape character is '^]'.

我们也期望看到这220 debian10email.debian10email ESMTP Postfix (Debian/GNU)条线,但是没有。

完整性检查...

考试

只是为了确认端口转发规则是否正确写入,我们......

  • 在防火墙上打开端口1025。
  • 端口转发 1025 至 1050
  • 然后检查我们在远程客户端上看到的内容。

调整防火墙

清除防火墙,打开端口,设置端口转发和一些服务。

root@gateway:~# firewall-cmd --reload
root@gateway:~# firewall-cmd --zone=public --add-port=1025/tcp
root@gateway:~# firewall-cmd --zone=public --add-forward-port=port=1025:proto=tcp:toport=1050
root@gateway:~# firewall-cmd --add-service={http,https,smtp}

验证防火墙

root@gateway:~# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: etho0
  sources: 
  services: dhcpv6-client http https smtp ssh
  ports: 1025/tcp
  protocols: 
  masquerade: no
  forward-ports: port=1025:proto=tcp:toport=1050:toaddr=
  source-ports: 
  icmp-blocks: 
  rich rules: 

结果

client@client123:~$ telnet gateway.example.org 1025
Trying <IP_of_gateway>...
Connected to gateway.example.org.
Escape character is '^]'.
220 debian10email.debian10email ESMTP Postfix (Debian/GNU)

我们有预期的220 debian10email.debian10email ESMTP Postfix (Debian/GNU)线路,因此防火墙按预期进行端口转发。

结论

特权端口和非特权端口之间的转发与非特权端口之间的转发不同。

如何在 Debian 10 Buster 上使用防火墙将特权的 1024 以下端口转发到非特权的 1024+ 端口?如果某处有答案,请指出。我们还没能找到它。

答案1

您的防火墙配置看起来正确。您测试的机器是否允许与端口 25 建立传出连接?请尝试从其他机器进行测试。

相关内容