Автор Тема: Вдруг отвалился 25 порт  (Прочитано 4430 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Вдруг отвалился 25 порт
« : 12 сентября 2016, 22:58:10 »
Фришный админ в отпуске, недоступен вообще никак, кое-ка удалось получить логины пароли
Топология сети:
Офис "А" - сеть 192,168,58,0/24, транспортный exch 2010 с адресом 192,168,58,1. Пограничная фря 192,168,58,250
Офис "Б" - сеть 192,168,10,0/24 пограничная фря 192,168,10,250
Между офисами айписек туннель
Есть еще тайная комната - там живут 2 exch2013 (192,168,10,103 и 192,168,10,104) и 1 exch 2010 (192,168,10,6) - фря с адресом 192,168,10,251 существует еще один туннель с офисом "Б".
Сегодня в 11 утра внезапно стала скапливаться очередь в направлении 10,103/10,104
При попытке телнетом проверить с 58,1 в сторону 10,103 - telnet 192.168.10.103(104) 25 - поулчаю таймаут соединения.
 Проверил оба 2013 - интрефесы он слушает. При проверке выдает
Цитировать
PS C:\Windows\system32> netstat -o -n -a | findstr :25
  TCP    0.0.0.0:25             0.0.0.0:0              LISTENING       14936
  TCP    192.168.10.103:2525    0.0.0.0:0              LISTENING       7768
  TCP    192.168.10.103:2525    192.168.58.2:26538     ESTABLISHED     7768
PS C:\Windows\system32> telnet 192.168.10.250 25
Подключение к 192.168.10.250...Не удалось открыть подключение к этому узлу, на порт 25: Сбой подключения
PS C:\Windows\system32>
Дальше интереснее - с 192,168,10,250 также не отвечает 25 порт - отваливается по таймауту
Т.е получается что  - по какой-то причине  оказался отключен 25 tcp между 58-й сетью, 192,168,10,250 и 3 хостами (192,168,10,103/10,104 и 10,6)
Pf не редактировался.
При попытке прослушать интрефейс 10,250 на фре - пинги от 10,103 в сторону 10,250 - вижу, телнет в 25 порт - нет ничего.
В итоге имею 3 очереди - 2 входящих с 192,168,58,1 и 192,168,10,250 -> 192.168.10.103/10.104 (на фре сендмейл и постфикс) и 1 очередь исходящая 192,168,10,103->192.168.10.250
Какой-то выборочный  факап. Не понимаю - подскажите, куда смотреть?
Это лог с 192,168,10,250  всторону exchange
Цитировать
Sep 12 17:25:15 il sm-mta[5865]: u8CDtHAw004905: to=<********>, delay=00:29:37, xdelay=00:00:00, mailer=relay, pri=120616, relay=exsrv.. [192.168.10.103], dsn=4.0.0, stat=Deferred: Operation not permitted

Куда смотреть?
Цитировать
%sockstat -4 -l |grep 25
root     sendmail   1853  3  tcp4   *:25                  *:*
%telnet 192.168.10.104 25
Trying 192.168.10.104...
telnet: connect to address 192.168.10.104: Operation not permitted
telnet: Unable to connect to remote host
%

это с 2013:
Цитировать
[PS] C:\Windows\system32>Get-Service | Where {$_.DisplayName -Like "*Exchange*"} | ft DisplayName, Name, Status

DisplayName                             Name                                                                     Status
-----------                             ----                                                                     ------
Microsoft Exchange Search Host Contr... HostControllerService                                                   Running
Служба топологии Microsoft Exchange ... MSExchangeADTopology                                                    Running
Обновление средства защиты от нежела... MSExchangeAntispamUpdate                                                Running
Управление Microsoft Exchange DAG       MSExchangeDagMgmt                                                       Running
Транспортная доставка почтовых ящико... MSExchangeDelivery                                                      Running
Диагностика Microsoft Exchange          MSExchangeDiagnostics                                                   Running
Microsoft Exchange EdgeSync             MSExchangeEdgeSync                                                      Running
Служба поиска Microsoft Exchange        MSExchangeFastSearch                                                    Running
Интерфейсный транспорт Microsoft Exc... MSExchangeFrontEndTransport                                             Running
Диспетчер работоспособности Microsof... MSExchangeHM                                                            Running
Microsoft Exchange IMAP4                MSExchangeImap4                                                         Running
Внутренняя служба IMAP4 Microsoft Ex... MSExchangeIMAP4BE                                                       Running
Банк данных Microsoft Exchange          MSExchangeIS                                                            Running
Помощники по обслуживанию почтовых я... MSExchangeMailboxAssistants                                             Running
Репликация почтовых ящиков Microsoft... MSExchangeMailboxReplication                                            Running
Microsoft Exchange POP3                 MSExchangePop3                                                          Running
Внутренний POP3 Microsoft Exchange      MSExchangePOP3BE                                                        Running
Репликация Microsoft Exchange           MSExchangeRepl                                                          Running
Клиентский доступ к Microsoft Exchan... MSExchangeRPC                                                           Running
Microsoft Exchange Service Host         MSExchangeServiceHost                                                   Running
Транспортная отправка почтовых ящико... MSExchangeSubmission                                                    Running
Регулирование Microsoft Exchange        MSExchangeThrottling                                                    Running
Транспорт Microsoft Exchange            MSExchangeTransport                                                     Running
Поиск журналов транспорта Microsoft ... MSExchangeTransportLogSearch                                            Running
Единая система обмена сообщениями Mi... MSExchangeUM                                                            Running
Маршрутизатор вызовов единой системы... MSExchangeUMCR                                                          Running
Tracing Service for Search in Exchange  SearchExchangeTracing                                                   Running
Microsoft Exchange Server Extension ... wsbexchange                                                             Stopped

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Вдруг отвалился 25 порт
« Ответ #1 : 12 сентября 2016, 23:53:39 »
sirarthur, У провайдеров через которых идут каналы, как юрлица подключены?
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Вдруг отвалился 25 порт
« Ответ #2 : 12 сентября 2016, 23:58:43 »
Triangle, там везде айписеки туннели - я стучусь везде по внутренним адресам


Updated: 13 September 2016, 00:07:15

Да и вот что еще непонятно. Вместе с 10,103 и 10,104 /"живет" старый древний сервер - с айпишником 10,26/24 - так он зараза телнетом в 25 порт видит всех...
и 58,1 и 10,103/10,104 и 10,250....
Я ваще ничего не понимаю
« Последнее редактирование: 13 сентября 2016, 00:07:15 от sirarthur »

Оффлайн VaD_

  • Постоялец
  • ***
  • Сообщений: 255
  • Рейтинг: 10
    • Просмотр профиля
  • Откуда: Баян-Улгийский Аймаг
Вдруг отвалился 25 порт
« Ответ #3 : 13 сентября 2016, 00:11:50 »
Я ваще ничего не понимаю
Чо тут понимать? Энмэпом прострели по всем адресам и результаты в студию.
Кроме того, я думаю, что Интернет должен быть разрушен (C) Катон Старший

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Вдруг отвалился 25 порт
« Ответ #4 : 13 сентября 2016, 00:13:48 »
VaD_, у меня рута нет  :pardon:



Updated: 13 September 2016, 00:23:34

Ну вот както-так отдает:
Цитировать
%nmap 192.168.58.1

Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:13 EEST
Nmap scan report for 192.168.58.1
Host is up (0.051s latency).
Not shown: 970 closed ports
PORT      STATE SERVICE
25/tcp    open  smtp
80/tcp    open  http
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
143/tcp   open  imap
443/tcp   open  https
445/tcp   open  microsoft-ds
587/tcp   open  submission
593/tcp   open  http-rpc-epmap
808/tcp   open  ccproxy-http
993/tcp   open  imaps
995/tcp   open  pop3s
1801/tcp  open  msmq
2103/tcp  open  zephyr-clt
2105/tcp  open  eklogin
2107/tcp  open  msmq-mgmt
3389/tcp  open  ms-term-serv
3527/tcp  open  beserver-msg-q
5633/tcp  open  beorl
5666/tcp  open  nrpe
6001/tcp  open  X11:1
6002/tcp  open  X11:2
6003/tcp  open  X11:3
6004/tcp  open  X11:4
6005/tcp  open  X11:5
6006/tcp  open  X11:6
6007/tcp  open  X11:7
6101/tcp  open  backupexec
6106/tcp  open  isdninfo
10000/tcp open  snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 16.70 seconds
%nmap 192.168.10.250

Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:16 EEST
Nmap scan report for 192.168.10.250
Host is up (0.00011s latency).
Not shown: 992 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
443/tcp  open  https
1723/tcp open  pptp
3128/tcp open  squid-http
5666/tcp open  nrpe

Nmap done: 1 IP address (1 host up) scanned in 6.23 seconds
%nmap 192.168.10.103

Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:21 EEST
Strange error from connect (1):Operation not permitted
Nmap scan report for 192.168.10.103
Host is up (0.0030s latency).
Not shown: 969 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
81/tcp   open  hosts2-ns
110/tcp  open  pop3
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
143/tcp  open  imap
443/tcp  open  https
444/tcp  open  snpp
445/tcp  open  microsoft-ds
465/tcp  open  smtps
587/tcp  open  submission
593/tcp  open  http-rpc-epmap
808/tcp  open  ccproxy-http
993/tcp  open  imaps
995/tcp  open  pop3s
1801/tcp open  msmq
2103/tcp open  zephyr-clt
2105/tcp open  eklogin
2107/tcp open  msmq-mgmt
2525/tcp open  ms-v-worlds
3389/tcp open  ms-term-serv
3800/tcp open  pwgpsi
3801/tcp open  ibm-mgr
3828/tcp open  neteh
5060/tcp open  sip
5666/tcp open  nrpe
6001/tcp open  X11:1
6005/tcp open  X11:5
6006/tcp open  X11:6
6007/tcp open  X11:7
6510/tcp open  mcer-port

Nmap done: 1 IP address (1 host up) scanned in 40.97 seconds
%nmap 192.168.10.104

Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:22 EEST
Strange error from connect (1):Operation not permitted
Nmap scan report for 192.168.10.104
Host is up (0.0032s latency).
Not shown: 969 closed ports
PORT     STATE    SERVICE
25/tcp   filtered smtp
80/tcp   open     http
81/tcp   open     hosts2-ns
110/tcp  open     pop3
135/tcp  open     msrpc
139/tcp  open     netbios-ssn
143/tcp  open     imap
443/tcp  open     https
444/tcp  open     snpp
445/tcp  open     microsoft-ds
465/tcp  open     smtps
587/tcp  open     submission
593/tcp  open     http-rpc-epmap
808/tcp  open     ccproxy-http
993/tcp  open     imaps
995/tcp  open     pop3s
1801/tcp open     msmq
2103/tcp open     zephyr-clt
2105/tcp open     eklogin
2107/tcp open     msmq-mgmt
2525/tcp open     ms-v-worlds
3389/tcp open     ms-term-serv
3800/tcp open     pwgpsi
3801/tcp open     ibm-mgr
3828/tcp open     neteh
5060/tcp open     sip
5666/tcp open     nrpe
6001/tcp open     X11:1
6005/tcp open     X11:5
6006/tcp open     X11:6
6007/tcp open     X11:7

Nmap done: 1 IP address (1 host up) scanned in 0.80 seconds
%nmap 192.168.10.6

Starting Nmap 5.51 ( http://nmap.org ) at 2016-09-13 00:22 EEST
Strange error from connect (1):Operation not permitted
Nmap scan report for 192.168.10.6
Host is up (0.0031s latency).
Not shown: 968 closed ports
PORT     STATE    SERVICE
25/tcp   filtered smtp
42/tcp   open     nameserver
53/tcp   open     domain
80/tcp   open     http
88/tcp   open     kerberos-sec
110/tcp  open     pop3
135/tcp  open     msrpc
139/tcp  open     netbios-ssn
143/tcp  open     imap
389/tcp  open     ldap
443/tcp  open     https
445/tcp  open     microsoft-ds
464/tcp  open     kpasswd5
587/tcp  open     submission
593/tcp  open     http-rpc-epmap
636/tcp  open     ldapssl
808/tcp  open     ccproxy-http
993/tcp  open     imaps
995/tcp  open     pop3s
3268/tcp open     globalcatLDAP
3269/tcp open     globalcatLDAPssl
3389/tcp open     ms-term-serv
5666/tcp open     nrpe
6001/tcp open     X11:1
6002/tcp open     X11:2
6003/tcp open     X11:3
6004/tcp open     X11:4
6005/tcp open     X11:5
6006/tcp open     X11:6
6007/tcp open     X11:7
6009/tcp open     X11:9
6129/tcp open     unknown

Nmap done: 1 IP address (1 host up) scanned in 0.73 seconds
%
« Последнее редактирование: 13 сентября 2016, 00:23:34 от sirarthur »

Оффлайн VaD_

  • Постоялец
  • ***
  • Сообщений: 255
  • Рейтинг: 10
    • Просмотр профиля
  • Откуда: Баян-Улгийский Аймаг
Вдруг отвалился 25 порт
« Ответ #5 : 13 сентября 2016, 00:31:16 »
Ну так смотри, где 25-ого порта нет. И там логи.

ЗЫ: КМК чо-та у тебя дофига всего открыто. Оно точно надо?


Updated: 13 September 2016, 00:35:02

6001/tcp open     X11:1
6002/tcp open     X11:2
6003/tcp open     X11:3
6004/tcp open     X11:4
6005/tcp open     X11:5
6006/tcp open     X11:6
6007/tcp open     X11:7
6009/tcp open     X11:9
Мышевозилы гуевы. :D :trollface:
« Последнее редактирование: 13 сентября 2016, 00:37:04 от VaD_ »
Кроме того, я думаю, что Интернет должен быть разрушен (C) Катон Старший

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Вдруг отвалился 25 порт
« Ответ #6 : 13 сентября 2016, 00:45:00 »
Ну так смотри, где 25-ого порта нет. И там логи.
нашлеся админ - отключил "подозрительное" правило в pf - оно типа не должно было сработать - но сработало - спросил - а че оно правило то делало?
- да так, фигня - блокировало 25 порт....
 :dash:
А че сработало - да хз, вернусь с отпуска посмотрю...
 :dash:

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Вдруг отвалился 25 порт
« Ответ #7 : 13 сентября 2016, 06:09:45 »
там везде айписеки туннели
А, вдуплил, а то знаешь есть такой прикольчик.

нашлеся админ - отключил "подозрительное" правило в pf - оно типа не должно было сработать - но сработало - спросил - а че оно правило то делало?
- да так, фигня - блокировало 25 порт....
 :dash:
А че сработало - да хз, вернусь с отпуска посмотрю...
 :dash:

 :cry:
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.