Проблема, отправляющая почту с phpmailer и iptables
У меня есть сайт Wordpress на человечности и апачском веб-сервере.
Я должен был заблокировать исходящий трафик с iptables на "высоких" портах, от 11 000 вперед из соображений безопасности.
К сожалению, так как я установил это правило, форма контакта больше не работает. Я получаю следующие ошибки
Connection: opening to mail.xxxxxxx.it 25, timeout = 300, options = array ....
Connection: Failed to connect to server. Error number 2. "Error notice: stream_socket_client (): unable to connect to mail.xxxxxxx. (Connection timed out)
SMTP ERROR: Failed to connect to server: Connection timed out (110)
Я использую внешний smtp сервер для отправки почты, таким образом, я установил плагин WP-Mail-SMTP, который в свою очередь использует PhpMailer. В сменных настройках это хорошо указано, что это должно использовать порт 25, аутентификация SMTP и никакое шифрование. Короче говоря, если я подаю заявку выше правила, я не могу отправить почту. Если я удаляю его, я могу отправить почту снова.
Кто-либо знает, существует ли чертовски сетевой порт, больше, чем 10 000, который используется PhpMailer или человечностью, которая ясно не документируется?
1 ответ
Когда Вы устанавливаете исходящую связь с сервером SMTP, Вы соединяетесь с портом удаленных серверов 25. Локальный порт, на Вашей машине взят от пула эфемерных портов. При попытке исходящего соединения операционная система выделит высокий номер порта автоматически, и более или менее случайным образом, для сокета.
При блокировании эфемерных портов Вы обычно не можете устанавливать исходящие связи от машины.
Обычно диапазон 49152-65535, согласно рекомендациям IANA. Некоторые операционные системы, особенно Windows XP и 2003 (и ранее) используемые нижние порты для этого. Для Ubuntu я полагаю, что значение по умолчанию 32768-60999:
$ sysctl net.ipv4.ip_local_port_range
net.ipv4.ip_local_port_range = 32768 60999
Когда это заблокировано iptables, исходящее соединение не работает. Это - то, что Вы наблюдаете здесь.
Можно, конечно, изменить этот диапазон портов, но преимущества безопасности выполнения так являются нолем. То, что Вы, вероятно, хотите, должно заблокировать входящий трафик к этим портам. При использовании ufw это может быть достигнуто отбрасыванием, которое все поступление, плюс позволяют определенным входящим портам, которые Вы действительно хотите слушать.
Вы, вероятно, заметите что другой материал, такой как sudo apt update повреждается из-за этих заблокированных портов. Если Вы абсолютно хотите изменить эфемерный диапазон портов - ни для какого преимущества - можно взглянуть на этот ответ на сайте U&L SE.