teratail
回答率
85.35%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
トップCentOSに関する質問
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

さくらのVPS

さくらのVPSは、さくらインターネット社が提供するVPS(仮想専用サーバー)です。高速なSSDの選択や複数台構成も可能。利用者に応じた柔軟なプランが用意されています。大規模システムにも対応可能なスケーラビリティを備えたホスティングサービスです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Q&A

解決済

1回答

2487閲覧

CentOS7.8でポートを追加で開けない

yutasp
yutasp

総合スコア1

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

さくらのVPS

さくらのVPSは、さくらインターネット社が提供するVPS(仮想専用サーバー)です。高速なSSDの選択や複数台構成も可能。利用者に応じた柔軟なプランが用意されています。大規模システムにも対応可能なスケーラビリティを備えたホスティングサービスです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

0グッド

0クリップ

投稿2020/10/14 04:11

0

0

ウェブサーバ(メールサーバ)の移設でさくらインターネットのVPSにて構築中です。CentOS Linux release 7.8.2003 (Core)

現状ウェブサーバ(APACHE)とメールサーバ(POSTFIX・DOVECOT)は動くようになり、SSL(TSL)導入の作業を進めているところです。

SSL関連のポートを開くため、firewalldにて以下のように設定しました。(pop3s,imaps,smtps追加、httpsは事前に開放済)

[root@domain_name admin]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: dhcpv6-client http https imap imaps pop3 pop3s smtp smtp-submission smtps ssh51515
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

リロード後確認すると、

[root@domain_name admin]# netstat -tanp | grep LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      919/httpd           
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      1234/master         
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      919/httpd           
tcp        0      0 0.0.0.0:51515           0.0.0.0:*               LISTEN      915/sshd            
tcp        0      0 0.0.0.0:587             0.0.0.0:*               LISTEN      1234/master         
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      969/dovecot         
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      969/dovecot         
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      526/rpcbind         
tcp6       0      0 :::25                   :::*                    LISTEN      1234/master         
tcp6       0      0 :::3306                 :::*                    LISTEN      1267/mysqld         
tcp6       0      0 :::587                  :::*                    LISTEN      1234/master         
tcp6       0      0 :::111                  :::*                    LISTEN      526/rpcbind    

[root@domain_name admin]# nmap xxx.xxx.xx.xxx
Starting Nmap 6.40 ( http://nmap.org ) at 2020-10-14 12:06 JST
Nmap scan report for domain_name.vs.sakura.ne.jp (xxx.xxx.xx.xxx)
Host is up (0.0000060s latency).
Not shown: 992 closed ports
PORT     STATE SERVICE
25/tcp   open  smtp
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
143/tcp  open  imap
443/tcp  open  https
587/tcp  open  submission
3306/tcp open  mysql

Nmap done: 1 IP address (1 host up) scanned in 1.63 seconds

と、追加したサービスのポートが追加されません。
ポート番号で直接開放しても同様でした。

色々調べたところ、iptablesとの競合が怪しいと思いましたが、iptables.serviceはインストールされていませんでしたが、yumで調べるとインストールされていました。
iptables -nL を入力すると以下の通り表示されます。

Chain IN_public_allow (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:51515 ctstate NEW,UNTRACKED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW,UNTRACKED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443 ctstate NEW,UNTRACKED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:110 ctstate NEW,UNTRACKED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:995 ctstate NEW,UNTRACKED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:143 ctstate NEW,UNTRACKED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:25 ctstate NEW,UNTRACKED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:465 ctstate NEW,UNTRACKED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:587 ctstate NEW,UNTRACKED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:993 ctstate NEW,UNTRACKED

今回のポート追加前に開放していたポートはfail2banを導入前に開放していたので、これが怪しいと思い、停止、自動起動解除、サーバ再起動して改めてポート追加してみましたが、やはりだめでした。

何か解決方法、またはご助言いただけないでしょうか。よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

firewall でポートを開けても、サーバーアプリケーションが実際にポートで接続を待ち受けるようにしないと netstat -tanp では表示されませんが、dovecot 等のサーバーアプリケーションでそのポートで接続を受け付けるように設定されていますか?

たとえば、dovecot の場合、 /etc/dovecot/conf.d/10-master.conf で待受ポートの設定があると思いますがどのような設定になっていますか?
imap や pop3 のサービスで、 inet_listener imaps { 〜 }inet_listener pop3s { 〜 } で、待ち受けするポートの設定の設定はされていますか?

投稿2020/10/14 04:32

編集2020/10/14 04:46
CHERRY
CHERRY

総合スコア25218

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yutasp
yutasp

2020/10/14 05:58

dovecot -n で確認しました。 /etc/dovecot/conf.d/10-master.conf の設定は正しく設定されていましたが、 /etc/dovecot/conf.d/10-ssl.conf で、ssl=noに設定されており、yesに変更したところ iptables -n で Chain IN_public_allow (1 references) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:51515 ctstate NEW,UNTRACKED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ctstate NEW,UNTRACKED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ctstate NEW,UNTRACKED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 ctstate NEW,UNTRACKED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 ctstate NEW,UNTRACKED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 ctstate NEW,UNTRACKED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ctstate NEW,UNTRACKED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465 ctstate NEW,UNTRACKED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587 ctstate NEW,UNTRACKED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 ctstate NEW,UNTRACKED と、 追加したポートがaccept されました。 ご助言ありがとうございます。 [root@domain_name conf.d]# nmap xxx.xxx.xx.xxx Starting Nmap 6.40 ( http://nmap.org ) at 2020-10-14 14:49 JST Nmap scan report for domain_name.vs.sakura.ne.jp (xxx.xxx.xx.xxx) Host is up (0.0000060s latency). Not shown: 992 closed ports PORT STATE SERVICE 25/tcp open smtp 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 443/tcp open https 587/tcp open submission 3306/tcp open mysql と、まだ外部から?はアクセスできないようです。 ssl証明書の問題があるかもしれないので、そのあたりを調べていきたいと思います。 さらなるご助言等ありましたらよろしくお願いいたします。
yutasp
yutasp

2020/10/14 06:08

ちょっと勘違いしていました。変更前でもiptables -nL でaccept されていましたね。
CHERRY
CHERRY

2020/10/14 06:49

正しく設定されていたら、デフォルトの SSL 証明書が「自己証明書」でも起動してポートで待ち受けると思います。 設定ファイル変更後に ` /bin/systemctl restart dovecot.service ` 等で、dovecot を再起動しているでしょうか?
yutasp
yutasp

2020/10/14 07:01

サーバの再起動でdovecotの設定も更新されると勘違いしていました。 dovecot再起動で無事外部からアクセスできるようになりました。お恥ずかしい。。。 ありがとうございました。 メールアプリケーションからのアクセスについてはまだ問題があり通信がタイムアウトしてしまいますが、一歩前進することができました。重ねてお礼申し上げます。
CHERRY
CHERRY

2020/10/14 07:27 編集

> サーバの再起動でdovecotの設定も更新されると勘違いしていました。 「サーバの再起動」というのが、VPSの再起動( OS の再起動)ということであれば、起動時に反映されると思うのですが... > メールアプリケーションからのアクセスについてはまだ問題があり通信がタイムアウトしてしまいますが、 さくらのVPS の場合、「VPS コントロールパネル」で「パケットフィルタ」が有効になっていると思いますが、どのような設定になっていますか? パケットフィルタ( https://manual.sakura.ad.jp/vps/network/packetfilter.html ) を参照して設定を確認してみてください。
yutasp
yutasp

2020/10/14 15:34 編集

ご回答ありがとうございます。 パケットフィルタは使用しない設定にしていました。 port465,993,995は無事解放できました。 サーバの再起動についてはrebootでVPSのOSの再起動をしたはずなのですが、順序が違っていたのかもしれません。 設定変更ごとに各サービスのreload/restartする習慣をつけようと思います。 openssl s_client -showcerts -connect でそれぞれ確認したところ 証明書自体に問題はなさそうですが、dovecot/postfixの設定に難があるようです。 試行錯誤でいろいろと汚い設定ファイルになってしまったので、必要なポートが開いたということでデフォルトのファイルから設定しなおそうと思ってます。 ありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップCentOSに関する質問

CentOS7.8でポートを追加で開けない