Форум системных администраторов
IT => Unix => Тема начата: sirarthur от 12 сентября 2016, 22:58:10
-
Фришный админ в отпуске, недоступен вообще никак, кое-ка удалось получить логины пароли
Топология сети:
Офис "А" - сеть 192,168,58,0/24, транспортный exch 2010 с адресом 192,168,58,1. Пограничная фря 192,168,58,250
Офис "Б" - сеть 192,168,10,0/24 пограничная фря 192,168,10,250
Между офисами айписек туннель
Есть еще тайная комната - там живут 2 exch2013 (192,168,10,103 и 192,168,10,104) и 1 exch 2010 (192,168,10,6) - фря с адресом 192,168,10,251 существует еще один туннель с офисом "Б".
Сегодня в 11 утра внезапно стала скапливаться очередь в направлении 10,103/10,104
При попытке телнетом проверить с 58,1 в сторону 10,103 - telnet 192.168.10.103(104) 25 - поулчаю таймаут соединения.
Проверил оба 2013 - интрефесы он слушает. При проверке выдает
PS C:\Windows\system32> netstat -o -n -a | findstr :25
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING 14936
TCP 192.168.10.103:2525 0.0.0.0:0 LISTENING 7768
TCP 192.168.10.103:2525 192.168.58.2:26538 ESTABLISHED 7768
PS C:\Windows\system32> telnet 192.168.10.250 25
Подключение к 192.168.10.250...Не удалось открыть подключение к этому узлу, на порт 25: Сбой подключения
PS C:\Windows\system32>
Дальше интереснее - с 192,168,10,250 также не отвечает 25 порт - отваливается по таймауту
Т.е получается что - по какой-то причине оказался отключен 25 tcp между 58-й сетью, 192,168,10,250 и 3 хостами (192,168,10,103/10,104 и 10,6)
Pf не редактировался.
При попытке прослушать интрефейс 10,250 на фре - пинги от 10,103 в сторону 10,250 - вижу, телнет в 25 порт - нет ничего.
В итоге имею 3 очереди - 2 входящих с 192,168,58,1 и 192,168,10,250 -> 192.168.10.103/10.104 (на фре сендмейл и постфикс) и 1 очередь исходящая 192,168,10,103->192.168.10.250
Какой-то выборочный факап. Не понимаю - подскажите, куда смотреть?
Это лог с 192,168,10,250 всторону exchange
Sep 12 17:25:15 il sm-mta[5865]: u8CDtHAw004905: to=<********>, delay=00:29:37, xdelay=00:00:00, mailer=relay, pri=120616, relay=exsrv.. [192.168.10.103], dsn=4.0.0, stat=Deferred: Operation not permitted
Куда смотреть?
%sockstat -4 -l |grep 25
root sendmail 1853 3 tcp4 *:25 *:*
%telnet 192.168.10.104 25
Trying 192.168.10.104...
telnet: connect to address 192.168.10.104: Operation not permitted
telnet: Unable to connect to remote host
%
это с 2013:
[PS] C:\Windows\system32>Get-Service | Where {$_.DisplayName -Like "*Exchange*"} | ft DisplayName, Name, Status
DisplayName Name Status
----------- ---- ------
Microsoft Exchange Search Host Contr... HostControllerService Running
Служба топологии Microsoft Exchange ... MSExchangeADTopology Running
Обновление средства защиты от нежела... MSExchangeAntispamUpdate Running
Управление Microsoft Exchange DAG MSExchangeDagMgmt Running
Транспортная доставка почтовых ящико... MSExchangeDelivery Running
Диагностика Microsoft Exchange MSExchangeDiagnostics Running
Microsoft Exchange EdgeSync MSExchangeEdgeSync Running
Служба поиска Microsoft Exchange MSExchangeFastSearch Running
Интерфейсный транспорт Microsoft Exc... MSExchangeFrontEndTransport Running
Диспетчер работоспособности Microsof... MSExchangeHM Running
Microsoft Exchange IMAP4 MSExchangeImap4 Running
Внутренняя служба IMAP4 Microsoft Ex... MSExchangeIMAP4BE Running
Банк данных Microsoft Exchange MSExchangeIS Running
Помощники по обслуживанию почтовых я... MSExchangeMailboxAssistants Running
Репликация почтовых ящиков Microsoft... MSExchangeMailboxReplication Running
Microsoft Exchange POP3 MSExchangePop3 Running
Внутренний POP3 Microsoft Exchange MSExchangePOP3BE Running
Репликация Microsoft Exchange MSExchangeRepl Running
Клиентский доступ к Microsoft Exchan... MSExchangeRPC Running
Microsoft Exchange Service Host MSExchangeServiceHost Running
Транспортная отправка почтовых ящико... MSExchangeSubmission Running
Регулирование Microsoft Exchange MSExchangeThrottling Running
Транспорт Microsoft Exchange MSExchangeTransport Running
Поиск журналов транспорта Microsoft ... MSExchangeTransportLogSearch Running
Единая система обмена сообщениями Mi... MSExchangeUM Running
Маршрутизатор вызовов единой системы... MSExchangeUMCR Running
Tracing Service for Search in Exchange SearchExchangeTracing Running
Microsoft Exchange Server Extension ... wsbexchange Stopped
-
sirarthur, У провайдеров через которых идут каналы, как юрлица подключены?
-
Triangle, там везде айписеки туннели - я стучусь везде по внутренним адресам
Updated: 13 September 2016, 00:07:15
Да и вот что еще непонятно. Вместе с 10,103 и 10,104 /"живет" старый древний сервер - с айпишником 10,26/24 - так он зараза телнетом в 25 порт видит всех...
и 58,1 и 10,103/10,104 и 10,250....
Я ваще ничего не понимаю
-
Я ваще ничего не понимаю
Чо тут понимать? Энмэпом прострели по всем адресам и результаты в студию.
-
VaD_, у меня рута нет :pardon:
Updated: 13 September 2016, 00:23:34
Ну вот както-так отдает:
%nmap 192.168.58.1
Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:13 EEST
Nmap scan report for 192.168.58.1
Host is up (0.051s latency).
Not shown: 970 closed ports
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp open microsoft-ds
587/tcp open submission
593/tcp open http-rpc-epmap
808/tcp open ccproxy-http
993/tcp open imaps
995/tcp open pop3s
1801/tcp open msmq
2103/tcp open zephyr-clt
2105/tcp open eklogin
2107/tcp open msmq-mgmt
3389/tcp open ms-term-serv
3527/tcp open beserver-msg-q
5633/tcp open beorl
5666/tcp open nrpe
6001/tcp open X11:1
6002/tcp open X11:2
6003/tcp open X11:3
6004/tcp open X11:4
6005/tcp open X11:5
6006/tcp open X11:6
6007/tcp open X11:7
6101/tcp open backupexec
6106/tcp open isdninfo
10000/tcp open snet-sensor-mgmt
Nmap done: 1 IP address (1 host up) scanned in 16.70 seconds
%nmap 192.168.10.250
Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:16 EEST
Nmap scan report for 192.168.10.250
Host is up (0.00011s latency).
Not shown: 992 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
443/tcp open https
1723/tcp open pptp
3128/tcp open squid-http
5666/tcp open nrpe
Nmap done: 1 IP address (1 host up) scanned in 6.23 seconds
%nmap 192.168.10.103
Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:21 EEST
Strange error from connect (1):Operation not permitted
Nmap scan report for 192.168.10.103
Host is up (0.0030s latency).
Not shown: 969 filtered ports
PORT STATE SERVICE
80/tcp open http
81/tcp open hosts2-ns
110/tcp open pop3
135/tcp open msrpc
139/tcp open netbios-ssn
143/tcp open imap
443/tcp open https
444/tcp open snpp
445/tcp open microsoft-ds
465/tcp open smtps
587/tcp open submission
593/tcp open http-rpc-epmap
808/tcp open ccproxy-http
993/tcp open imaps
995/tcp open pop3s
1801/tcp open msmq
2103/tcp open zephyr-clt
2105/tcp open eklogin
2107/tcp open msmq-mgmt
2525/tcp open ms-v-worlds
3389/tcp open ms-term-serv
3800/tcp open pwgpsi
3801/tcp open ibm-mgr
3828/tcp open neteh
5060/tcp open sip
5666/tcp open nrpe
6001/tcp open X11:1
6005/tcp open X11:5
6006/tcp open X11:6
6007/tcp open X11:7
6510/tcp open mcer-port
Nmap done: 1 IP address (1 host up) scanned in 40.97 seconds
%nmap 192.168.10.104
Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:22 EEST
Strange error from connect (1):Operation not permitted
Nmap scan report for 192.168.10.104
Host is up (0.0032s latency).
Not shown: 969 closed ports
PORT STATE SERVICE
25/tcp filtered smtp
80/tcp open http
81/tcp open hosts2-ns
110/tcp open pop3
135/tcp open msrpc
139/tcp open netbios-ssn
143/tcp open imap
443/tcp open https
444/tcp open snpp
445/tcp open microsoft-ds
465/tcp open smtps
587/tcp open submission
593/tcp open http-rpc-epmap
808/tcp open ccproxy-http
993/tcp open imaps
995/tcp open pop3s
1801/tcp open msmq
2103/tcp open zephyr-clt
2105/tcp open eklogin
2107/tcp open msmq-mgmt
2525/tcp open ms-v-worlds
3389/tcp open ms-term-serv
3800/tcp open pwgpsi
3801/tcp open ibm-mgr
3828/tcp open neteh
5060/tcp open sip
5666/tcp open nrpe
6001/tcp open X11:1
6005/tcp open X11:5
6006/tcp open X11:6
6007/tcp open X11:7
Nmap done: 1 IP address (1 host up) scanned in 0.80 seconds
%nmap 192.168.10.6
Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:22 EEST
Strange error from connect (1):Operation not permitted
Nmap scan report for 192.168.10.6
Host is up (0.0031s latency).
Not shown: 968 closed ports
PORT STATE SERVICE
25/tcp filtered smtp
42/tcp open nameserver
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
110/tcp open pop3
135/tcp open msrpc
139/tcp open netbios-ssn
143/tcp open imap
389/tcp open ldap
443/tcp open https
445/tcp open microsoft-ds
464/tcp open kpasswd5
587/tcp open submission
593/tcp open http-rpc-epmap
636/tcp open ldapssl
808/tcp open ccproxy-http
993/tcp open imaps
995/tcp open pop3s
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
3389/tcp open ms-term-serv
5666/tcp open nrpe
6001/tcp open X11:1
6002/tcp open X11:2
6003/tcp open X11:3
6004/tcp open X11:4
6005/tcp open X11:5
6006/tcp open X11:6
6007/tcp open X11:7
6009/tcp open X11:9
6129/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 0.73 seconds
%
-
Ну так смотри, где 25-ого порта нет. И там логи.
ЗЫ: КМК чо-та у тебя дофига всего открыто. Оно точно надо?
Updated: 13 September 2016, 00:35:02
6001/tcp open X11:1
6002/tcp open X11:2
6003/tcp open X11:3
6004/tcp open X11:4
6005/tcp open X11:5
6006/tcp open X11:6
6007/tcp open X11:7
6009/tcp open X11:9
Мышевозилы гуевы. :D :trollface:
-
Ну так смотри, где 25-ого порта нет. И там логи.
нашлеся админ - отключил "подозрительное" правило в pf - оно типа не должно было сработать - но сработало - спросил - а че оно правило то делало?
- да так, фигня - блокировало 25 порт....
:dash:
А че сработало - да хз, вернусь с отпуска посмотрю...
:dash:
-
там везде айписеки туннели
А, вдуплил, а то знаешь есть такой прикольчик.
нашлеся админ - отключил "подозрительное" правило в pf - оно типа не должно было сработать - но сработало - спросил - а че оно правило то делало?
- да так, фигня - блокировало 25 порт....
:dash:
А че сработало - да хз, вернусь с отпуска посмотрю...
:dash:
:cry: