http://proxmox.su Новое в теме Как закрыть открытый порт 111 форума Proxmox Mail Gateway на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Mon, 06 Apr 2026 07:08:53 +0300 Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Есть только один эффективный способ сделать это — использовать файрвол Proxmox. RPC исторически самый небезопасный протокол, когда-либо созданный для компьютерных систем. С ним связано непропорционально много проблем с безопасностью, как с самим RPC, так и с сервисами, которые его используют. Никому уже не нужен RPC, но по причинам, которые я не изучал, так как не являюсь разработчиком, он упростил сеть для множества приложений. Но с безопасностью у него полный провал. Так было всегда, и даже тот факт, что современные реализации rpcbind не позволяют ограничить IP-адрес, к которому он привязывается по TCP, показывает, что пренебрежение безопасностью в RPC не изменилось. Люди, работающие над RPC и его сервисами, просто не заботятся о том, что вашу систему взломают — и это их вина. Их позиция ясна: если вы используете RPC и система взломана, значит, это Ваша вина, что вы вообще использовали RPC. То, что в Proxmox есть обязательные службы, использующие RPC, — мягко говоря, настораживает. Но это можно компенсировать с помощью файрвола. Просто сделайте следующее:

1. Включите файрвол на уровне датацентра  
2. Добавьте правило, которое блокирует или отклоняет порт 111 на нужном IP хоста Proxmox

Это так просто. Мне потребовалось время, чтобы разобраться, но надеюсь, вы читаете это и теперь знаете, как сделать. Я вообще заблокировал ВСЁ, что приходило на один IP Proxmox, привязанный к «внешнему» интерфейсу, и вы поймёте почему, если будете читать дальше. Очень просто.

Некоторые задаются вопросом: «Зачем блокировать RPC, если хост за файрволом?», и моя первая реакция: «Зачем ты вообще говоришь? Я занимаюсь кибербезопасностью 27 лет, знаю по этой теме больше, чем ты успеешь выучить за всю жизнь, и если я говорю, что RPC нужно блокировать или отключать по умолчанию, твоя реакция должна быть: «Хм, я об этом не думал». Почему люди с небольшими знаниями думают, что у них есть ответ на всё?

Мне нужно было заблокировать RPC, потому что внезапно надо было поставить файрвол на сервер Proxmox. Мое железо файрвола сломалось, и нужна была быстрая замена. Чтобы решить проблему, я создал новую VM, установил pfSense, восстановил конфигурацию со старого файрвола, подключил второй NIC к этой VM и настроил интерфейсы. Это означало, что RPC не нужно было блокировать на уровне хоста Proxmox. RPC был активен только на IP Proxmox, который теперь был внутри «нового» файрвола.

Однако через несколько недель я случайно задел крепление съёмного загрузочного диска при обслуживании, и сервер Proxmox не загрузился. Долго разбирался, почему диск не виден (просто надо было его задвинуть обратно), а пока работал на неисправном железе файрвола — которое на момент проверки ещё функционировало, но я не знал, надолго ли (перегрев? может быть). Это было долгим процессом без интернета, да ещё и с основной работой. В итоге я починил Proxmox.

Этот сбой заставил меня понять, что нужен способ обеспечить отказоустойчивость для файрвола, чтобы при проблемах с ним интернет не падал. «Поставь два железных файрвола в HA», — кричат. Могу, конечно, использовать pfSense HA на двух небольших ПК, но есть два нюанса. Во-первых, я хотел поучиться переключению VM между узлами Proxmox. Во-вторых, два железных файрвола — дорогое удовольствие. Поэтому я решил пока использовать VM для файрволов с автоматическим переключением в Proxmox. Для этого нужны идентичные конфигурации на двух узлах, а поскольку оборудование разное, пришлось использовать Linux Bridge для внешнего NIC, чтобы виртуалки имели одинаковый набор сетевых интерфейсов у хоста. Это значит, что Proxmox получает свой собственный IP во внешней сети. Другого пути нет, если не иметь одинаковое железо и идентичное passthrough на обоих узлах, чтобы можно было запускать по одному firewall VM на каждом с выделенным NIC для внешней сети. Тогда Proxmox не использует NIC в режиме моста и не сможет туда ничего «привязать». Но тогда появляется необходимость освоить pfSense в HA-режиме. Секрет: я пробовал, но всё оказалось сложно и запутанно, а отказоустойчивость нужна была быстро, так что я вернулся к автоматическому переключению VM в Proxmox. Может, позже попробую снова, когда будет больше времени и желания изучать.

В моей схеме HA RPC открыт на Proxmox-хостах с внешней стороны файрволов. Это не хорошо. Вот почему мне нужен способ заблокировать RPC. Кстати, SSH тоже был открыт на внешних интерфейсах, но его можно настроить на привязку к конкретным адресам и интерфейсам, я так и сделал, чтобы он там не слушал. Вот rpcbind-разработчикам стоило бы поучиться.

Лучший способ решить мою проблему — использовать качественное специализированное железо для файрволов в HA-режиме. pfSense и OpenSense это поддерживают. Но такой подход дорогой и не всегда реализуем. Я, как и многие, потратил лишние деньги на второй сервер Proxmox, чтобы а) играться с новым железом, б) заниматься кластеризацией, в) учиться HA и автоматическому переключению VM. Мой аппаратный файрвол был ByteNUC с двумя NIC, они сломались, заменители USB/RJ45 тоже умерли. Денег на пару Qotom 3229-whatever для отказоустойчивых файрволов у меня нет (и слышал, что их надёжность не ахти), поэтому мне нужна схема failover на Proxmox. И не стоит критиковать мои решения тем, кто только вчера начал заниматься IT.

RPC — чёрная дыра безопасности ещё с тех времён, когда я начинал карьеру, и мы уже 25 лет назад открыто смеялись над тем, насколько он ужасен. Вопрос в том, почему он всё ещё такой плохой спустя столько лет и почему современные системные интеграторы и разработчики продолжают его использовать?
26.08.2024 16:16:00, ICMan.]]> http://proxmox.su/forum/messages/forum65/message338533/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338533/79475-kak-zakryt-otkrytyy-port-111 Mon, 26 Aug 2024 16:16:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Наверное, я неправильно понимаю, как работают уровни дата-центра и узла. Я также заметил, что если отключить разрешение SSH на уровне дата-центра, это не дает эффекта — подключиться по SSH всё равно можно. Я сделал те же правила на уровне узла и включил брандмауэр узла. Затем отключил разрешение SSH на уровне узла... и всё равно можно было подключиться по SSH. Потом отключил разрешение SSH на уровне дата-центра, и теперь доступ наконец заблокирован. Потом включил SSH только на уровне узла — и теперь подключиться возможно. Думаю, мои правила просто не применялись, потому что брандмауэр узла был отключен (я думал, он нужен только если хочу настроить правила для конкретного узла, если их несколько). Сейчас порт 111 отображается как open|filtered (ранее просто open). Так что, думаю, теперь всё нормально.
17.07.2024 18:19:00, Neoony.]]> http://proxmox.su/forum/messages/forum65/message338532/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338532/79475-kak-zakryt-otkrytyy-port-111 Wed, 17 Jul 2024 18:19:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Извиняюсь, что оживляю старую тему, но она кажется довольно актуальной (ПРАВКА: а на самом деле моя проблема в Proxmox VE, уупс, заметил это слишком поздно). Я настроил Proxmox и включил фаервол на уровне Datacenter, при этом на уровне узла (Node) фаервол отключён. А вот на каждой виртуальной машине фаервол включён (там свои сетевые интерфейсы и IP).

Однако в фаерволе Datacenter я разрешаю только: icmp, ipv6-icmp, ssh (на кастомном порте), веб-интерфейс Proxmox на 8006, а затем DROP для всего остального на любом интерфейсе.

При этом мне пришло письмо, что порт 111 открыт (на самом хосте Proxmox). Почему он открыт, если в фаерволе datacenter я разрешаю только указанные выше порты и протоколы? Даже если я явно ставлю DROP для 111 выше всех правил, он всё равно открыт. Очень удивлён. (может, я чего-то не понимаю?)

Как правильно заблокировать порт через фаервол Proxmox, желательно через веб-интерфейс? Не хотелось бы городить кастомные правила iptables.

Хотя, скорее всего, мне нужно разобраться, что вообще происходит, ведь я пытаюсь понять, почему не блокируется всё остальное.
17.07.2024 17:54:00, Neoony.]]> http://proxmox.su/forum/messages/forum65/message338531/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338531/79475-kak-zakryt-otkrytyy-port-111 Wed, 17 Jul 2024 17:54:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Я понятия не имею про spice. Не понимаю, зачем кому-то использовать spice вместе с линукс-консолью без графического интерфейса. Управление GUI идет через порт 8006 для PMG.
16.12.2022 15:57:00, utkonos.]]> http://proxmox.su/forum/messages/forum65/message338530/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338530/79475-kak-zakryt-otkrytyy-port-111 Fri, 16 Dec 2022 15:57:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Спасибо за инструкцию, попробую сегодня позже. Кстати, не уверен, но для подключения spice, которое устанавливается через ключ, оно идет напрямую или для этого тоже нужна настройка правила в файерволе?
16.12.2022 15:44:00, Docop2.]]> http://proxmox.su/forum/messages/forum65/message338529/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338529/79475-kak-zakryt-otkrytyy-port-111 Fri, 16 Dec 2022 15:44:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
@Stoiko Ivanov Вот черновик. Не уверен, что всё сделал правильно. Пока еще тестирую. https://forum.proxmox.com/threads/configuration-of-pve-firewall-for-pmg-guest.119557/
15.12.2022 21:16:00, utkonos.]]> http://proxmox.su/forum/messages/forum65/message338528/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338528/79475-kak-zakryt-otkrytyy-port-111 Thu, 15 Dec 2022 21:16:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
@Docop2 Если это так, не стоит ли указать это в разделе документации, на который я ссылался? В таком случае это будет по сути то же самое, что и для 8006: RPCBIND, 111, TCP, Интранет, Proxmox. Это нужно добавить в эту таблицу: https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#firewall_settings:~:text=2.3.-,Firewall Settings,-In order to
15.12.2022 19:46:00, utkonos.]]> http://proxmox.su/forum/messages/forum65/message338527/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338527/79475-kak-zakryt-otkrytyy-port-111 Thu, 15 Dec 2022 19:46:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Отключив rpcbind... разве он не нужен для монтирования NFS-диска? Если его выключить, разве это не только для автоматического обнаружения, чтобы использовать NFS для datastore? Если настроить всё вручную, будет ли нормально или просто при загрузке PVE он не смонтируется?

/etc/pve/storage.cfg  
nfs:  
 nfs export /sda3/extradrive  
 path /mnt/pve/nfs  
 server 192.22.45.5  
 options vers=4.1  
 content images, dump  
 nodes pve-test
15.12.2022 19:40:00, Docop2.]]> http://proxmox.su/forum/messages/forum65/message338526/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338526/79475-kak-zakryt-otkrytyy-port-111 Thu, 15 Dec 2022 19:40:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Спасибо за помощь. Еще два вопроса:  
1) Мне удалось отключить сервис на порту 111 с помощью следующих команд (немного изменённых по сравнению с предыдущим сообщением, теперь только через systemd). Ты упоминал «просто удалите `rpcbind, nfs-common`, если не нужно». Ты имеешь в виду пакеты, верно? Я выполнил apt purge rpcbind, и это удалило оба пакета.  
Bash:  
systemctl stop rpcbind  
systemctl disable rpcbind  

2) Я бы с удовольствием написал руководство по настройке файрвола PVE для PMG. Лучше опубликовать черновик изменений в виде темы на форуме для правок и отзывов или сразу разместить всё на Bugzilla, или, может, как-то иначе? Возможно, сразу что-то сделаю неправильно.
15.12.2022 15:32:00, utkonos.]]> http://proxmox.su/forum/messages/forum65/message338525/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338525/79475-kak-zakryt-otkrytyy-port-111 Thu, 15 Dec 2022 15:32:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Должно работать нормально, можно использовать nmap, чтобы проверить, что всё функционирует как надо (с внешней рабочей станции — https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#nmap). Пока нет — возможно, стоит сделать страницу по этому поводу в вики. Если хотите, пожалуйста, откройте запрос на улучшение (для pmg->Documentation) на https://bugzilla.proxmox.com.
15.12.2022 15:23:00, Stoiko Ivanov.]]> http://proxmox.su/forum/messages/forum65/message338524/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338524/79475-kak-zakryt-otkrytyy-port-111 Thu, 15 Dec 2022 15:23:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Понял. Я использую PMG в виртуальной машине на PVE и заметил настройку в PVE по пути: Datacenter > {node} > {vm} > Firewall. Думаю, посмотрю, как включить и настроить её в соответствии с требованиями PMG из документации. Есть ли какой-нибудь быстрый гайд, который поможет правильно настроить эту функцию PVE для PMG? И ещё, правильно ли я понимаю, что именно этот фаервол подходит для размещения PMG за ним?
15.12.2022 15:18:00, utkonos.]]> http://proxmox.su/forum/messages/forum65/message338523/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338523/79475-kak-zakryt-otkrytyy-port-111 Thu, 15 Dec 2022 15:18:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Настройки описывают, какие порты должны быть открыты для работы PMG (см. также строки 'from', 'to'). Единственное, что стоит особо отметить — это явно указать, что ssh (tcp/22) с административной рабочей станции может быть хорошей идеей. Кроме порта 111, все остальные порты с публичными слушателями там тоже указаны. Что касается порта 111 — его можно просто отключить, удалив `rpcbind, nfs-common`, если он вам не нужен. Возможно, мы рассмотрим это в будущей версии, но так как предполагается развертывать PMG за файрволом (или настраивать на нём iptables/nft), это не самая срочная задача. Надеюсь, теперь всё понятно!
15.12.2022 15:13:00, Stoiko Ivanov.]]> http://proxmox.su/forum/messages/forum65/message338522/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338522/79475-kak-zakryt-otkrytyy-port-111 Thu, 15 Dec 2022 15:13:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Можно ли включить в будущий релиз PMG одно из двух изменений?  
- Отключить rpcbind по умолчанию  
- Добавить настройку в "Администрирование > Сервисы" в GUI/API, чтобы этим можно было управлять без необходимости вносить изменения через CLI  

Хотел поднять эту старую тему. Я заметил это при сравнении документации с реальной ситуацией на сервере PMG.  

Вот настройки файрвола из документации: https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#firewall_settings  

А вот вывод команды sudo ss -tulwn | grep LISTEN:  
Code:  
tcp   LISTEN 0      4096         0.0.0.0:111        0.0.0.0:*  
tcp   LISTEN 0      100          0.0.0.0:25         0.0.0.0:*  
tcp   LISTEN 0      100          0.0.0.0:26         0.0.0.0:*  
tcp   LISTEN 0      128          0.0.0.0:22         0.0.0.0:*  
tcp   LISTEN 0      4096       127.0.0.1:10023      0.0.0.0:*  
tcp   LISTEN 0      4096       127.0.0.1:10022      0.0.0.0:*  
tcp   LISTEN 0      100        127.0.0.1:10025      0.0.0.0:*  
tcp   LISTEN 0      4096       127.0.0.1:10024      0.0.0.0:*  
tcp   LISTEN 0      244        127.0.0.1:5432       0.0.0.0:*  
tcp   LISTEN 0      4096       127.0.0.1:85         0.0.0.0:*  
tcp   LISTEN 0      4096            [::]:111 [::]:*
tcp   LISTEN 0      100             [::]:25 [::]:*
tcp   LISTEN 0      100             [::]:26 [::]:*
tcp   LISTEN 0      128             [::]:22 [::]:*
tcp   LISTEN 0      4096               *:8006             *:*  

А вот конкретный вывод sudo lsof -i -P -n | grep LISTEN | grep :111:  
Code:  
systemd       1     root   36u  IPv4  18453      0t0  TCP *:111 (LISTEN)  
systemd       1     root   38u  IPv6    228      0t0  TCP *:111 (LISTEN)  
rpcbind     509     _rpc    4u  IPv4  18453      0t0  TCP *:111 (LISTEN)  
rpcbind     509     _rpc    6u  IPv6    228      0t0  TCP *:111 (LISTEN)
15.12.2022 15:04:00, utkonos.]]> http://proxmox.su/forum/messages/forum65/message338521/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338521/79475-kak-zakryt-otkrytyy-port-111 Thu, 15 Dec 2022 15:04:00 +0300 Proxmox Mail Gateway Как закрыть открытый порт 111 Proxmox Mail Gateway в форуме Proxmox Mail Gateway.
Я совсем новичок в proxmox mailgateway. Установка прошла без проблем, всё работает на виртуальной машине внутри hyper-v. Пока просто экспериментирую, ещё не начал по-настоящему использовать систему. Всего через два дня после установки получил жалобы от reports.cert-bund.de, что на системе открыт порт 111 (udp). Нужен ли этот порт открытым? Моя система не за файерволом, поэтому хочу оставить открытыми только действительно необходимые порты. Может, кто подскажет, как закрыть этот порт, не потеряв при этом нужные функции?
28.04.2018 11:40:00, wwweiss.]]> http://proxmox.su/forum/messages/forum65/message338520/79475-kak-zakryt-otkrytyy-port-111 http://proxmox.su/forum/messages/forum65/message338520/79475-kak-zakryt-otkrytyy-port-111 Sat, 28 Apr 2018 11:40:00 +0300 Proxmox Mail Gateway