форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Почему нет доступа к почтовым серверам?"
Сообщение от RebelX (ok) on 20-Июл-04, 00:16  (MSK)
Не могу понять, почему у моих клиентов нет доступа к внешним почтовым серверам? У меня в фаерволе: iptables -t nat -A POSTROUTING -s x.x.x.x/16 --out-interface eth1 -j SNAT  --to-source y.y.y.y iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d y.y.y.y --dport 25 -i eth0 -j ACCEPT iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d y.y.y.y --dport 110 -i eth0 -j ACCEPT где x.x.x.x/16 - клиенты y.y.y.y - мой внешний (реальный) ip
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Почему нет доступа к почтовым серверам?"
Сообщение от Mitch on 20-Июл-04, 03:15  (MSK)
а ко всему остальному кроме 25го порта прямой доступ есть ? ========================= FreeBSD, Linux Администрирование и Консультации http://aka-root.com/
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Почему нет доступа к почтовым серверам?"
	Сообщение от RebelX (??) on 20-Июл-04, 09:22  (MSK)
	>а ко всему остальному кроме 25го порта прямой доступ есть ? > >========================= >FreeBSD, Linux >Администрирование и Консультации >http://aka-root.com/ Доступ есть, но не прямой. Http и ftp клиенты используют через сквид. Т.е. прямого доступа как такого и не должно быть. По возможности весь трафик должен кэшироваться и контролироваться. Разве что кроме почты, главное чтобы я мог открыть фаервольными правилами доступ к ней и закрыть по необходимости...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Почему нет доступа к почтовым серверам?"
	Сообщение от RebelX (ok) on 20-Июл-04, 10:50  (MSK)
	У клиента под мастдаем настроен шлюз по умолчанию с внутренним (fake) адресом. На этом же шлюзе и висит y.y.y.y Если в почтовой программе использовать сквид, то пишет что хост (удаленный почтовый сервер) не найден. Если не использовать - тоже.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Почему нет доступа к почтовым серверам?"
Сообщение от Saho (ok) on 20-Июл-04, 11:22  (MSK)
попробуй вместо y.y.y.y поставить ip почтового сервера или 0/0 во второй и третьей строке
	Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Почему нет доступа к почтовым серверам?"
Сообщение от vitaliy (ok) on 20-Июл-04, 15:29  (MSK)
>Не могу понять, почему у моих клиентов нет доступа к внешним почтовым >серверам? > >У меня в фаерволе: > >iptables -t nat -A POSTROUTING -s x.x.x.x/16 --out-interface eth1 -j SNAT   >--to-source y.y.y.y >iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d y.y.y.y --dport >25 -i eth0 -j ACCEPT >iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d y.y.y.y --dport >110 -i eth0 -j ACCEPT > >где x.x.x.x/16 - клиенты >y.y.y.y - мой внешний (реальный) ip POSTROUTING - после роутинга. То есть надо так: iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d real_ip --dport >25 -i eth0 -j ACCEPT Плюс неизвестно что в остальных правилах, бо только этих недостаточно.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Почему нет доступа к почтовым серверам?"
	Сообщение от RebelX (ok) on 20-Июл-04, 18:03  (MSK)
	>POSTROUTING - после роутинга. То есть надо так: >iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d real_ip --dport > >>25 -i eth0 -j ACCEPT > >Плюс неизвестно что в остальных правилах, бо только этих недостаточно. То что postrouting - после роутинга я и сам знаю. Вам читать сообщения внимательней надо, т.к. я в начале написал тоже самое :) Postrouting у меня только для ната. А для почты стоит форвард! А больше правил конкретно касающихся почты и маскарадинга нет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Почему нет доступа к почтовым серверам?"
	Сообщение от open on 20-Июл-04, 18:14  (MSK)
	а DNS запросы ты FORWARDишь ? соединения на 53 порт разрешены ? или клиенты твои твой ДНС используют? а вообще то если ты такой умный что можешь решать какие правила показывать а какие не показывать, то наверное эту задача бы и не возникла, кто тебе будет помогать если ты правила не хочешь показывать ? >>POSTROUTING - после роутинга. То есть надо так: >>iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d real_ip --dport >> >>>25 -i eth0 -j ACCEPT >> >>Плюс неизвестно что в остальных правилах, бо только этих недостаточно. > > >То что postrouting - после роутинга я и сам знаю. >Вам читать сообщения внимательней надо, т.к. я в начале написал тоже самое >:) Postrouting у меня только для ната. А для почты стоит >форвард! >А больше правил конкретно касающихся почты и маскарадинга нет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Почему нет доступа к почтовым серверам?"
	Сообщение от RebelX (ok) on 20-Июл-04, 23:54  (MSK)
	>а DNS запросы ты FORWARDишь ? только если мой днс не может резолвить >соединения на 53 порт разрешены ? разрешены >или клиенты твои твой ДНС используют? да >а вообще то если ты такой умный что можешь >решать какие правила показывать а какие не показывать, >то наверное эту задача бы и не возникла, >кто тебе будет помогать если ты правила не хочешь показ я пока не настолько умный в линуксе чтобы решить такую проблему скажи, а зачем мне показывать правила фаервола отвечающие, например, за доступ к игровым серверам и сквиду? разве они имеют отношение к почте? я не показывал их чтобы не забивать ненужной информацией этот тред! а то сразу в штыки....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Почему нет доступа к почтовым серверам?"
Сообщение от Solo_Wolf on 21-Июл-04, 00:59  (MSK)
>Не могу понять, почему у моих клиентов нет доступа к внешним почтовым >серверам? > >где x.x.x.x/16 - клиенты >y.y.y.y - мой внешний (реальный) ip >У меня в фаерволе: > >iptables -t nat -A POSTROUTING -s x.x.x.x/16 --out-interface eth1 -j SNAT --to-source y.y.y.y Все, что наружу заворачиваем после роутинга на внешний адрес. Зачем? - несовсем понятно. >iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d y.y.y.y --dport 25 -i eth0 -j ACCEPT Данное правило говорит о том, что пропущаем на свой SMTP сервер. Пакет наружу не выходит.... >iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d y.y.y.y --dport 110 -i eth0 -j ACCEPT Тоже самое для 110. Если есть squid, то понятно, что он будет кешировать. А кешировать он будет только http и ftp. Про остальное squid не должен знать. Если внутренние адреса - локальные (типа 192.168....), то на первом же маршрутизаторе их задавят, как класс. Выход только в MASQUERADE правиле. И ставить его лучше тогда (в вашем случае) только для 110 порта. А 25-й заворачивать в свой SMTP сервер и там принимать решение. Да и доступ к вашему внешнему ip совсем не нужет внутренним адресам (я так думаю).
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Почему нет доступа к почтовым серверам?"
	Сообщение от _KAV_ (ok) on 21-Июл-04, 10:48  (MSK)
	>>Не могу понять, почему у моих клиентов нет доступа к внешним почтовым >>серверам? >> >>где x.x.x.x/16 - клиенты >>y.y.y.y - мой внешний (реальный) ip >>У меня в фаерволе: >> >>iptables -t nat -A POSTROUTING -s x.x.x.x/16 --out-interface eth1 -j SNAT --to-source y.y.y.y > >Все, что наружу заворачиваем после роутинга на внешний адрес. Зачем? - несовсем понятно. Абсолютно понятно и абсолютно правильно. Man iptables > >>iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d y.y.y.y --dport 25 -i eth0 -j ACCEPT > >Данное правило говорит о том, что пропущаем на свой SMTP сервер. Пакет >наружу не выходит.... А для пакетов на внешние СМТП действует предыдущее... правило, вообще то, нафиг не нужно. >>iptables -t filter -A FORWARD -p tcp -s x.x.x.x/16 -d y.y.y.y --dport 110 -i eth0 -j ACCEPT > >Тоже самое для 110. Аналогично. > >Если внутренние адреса - локальные (типа 192.168....), то на первом же маршрутизаторе >их задавят, как класс. Выход только в MASQUERADE правиле. И ставить >его лучше тогда (в вашем случае) только для 110 порта. А >25-й заворачивать в свой SMTP сервер и там принимать решение. Да >и доступ к вашему внешнему ip совсем не нужет внутренним адресам >(я так думаю). Бррр... ну и рекомендации... SNAT здесь используется вместо MASQUERADE абсолютно правильно. Ответ очень прост - как мычание. В строчках FORWARD как destination указать адрес 0.0.0.0/0 - обращение же к внешним серверам. Дополнительно по входящим из внешнего мира по порту 110 делается действие reject - или по поп3 почту принять через маскарад не удастся... Последнюю рекомендацию, кстати, давно пора в FAQ
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Почему нет доступа к почтовым серверам?"
	Сообщение от _KAV_ (ok) on 21-Июл-04, 11:56  (MSK)
	Для полной кузявости вот куски моего файрвола... Секции modprobe нет - все модули вкомпилены в ядро, нет сквидов и прочего - выход в инет через маскарад. Секции, относящиеся к туннелям, сервисам и пр. выкинуты - т.е. оставлен только маскарад и прием почты с внешнего POP3. Если неохота маскарадить все- в секции traffic on the local interface добавить опеределение портов и включить секцию на сквид. Замечание - я предпочитаю разбирать пакеты по интерфейсам, если есть возможность - и быстрее, и защита от левых адресов снаружи. #!/bin/sh #from /etc/rc.d/rc.local. echo "Starting firewalling... " # ---------------------------------------------------------------------------- LOOPBACK_INTERFACE="lo" # or your local naming convention LOOPBACK="127.0.0.0/8" # reserved loopback address range INTERNAL_INTERFACE="eth0" # internal LAN interface LOCALIP="192.168.0.253" LOCALNET="192.168.0.0/24" # whatever private range you use EXTERNAL_INTERFACE="eth1" # Internet connected interface IPADDR="ххх.ххх.ххх.ххх" # your IP address ANYWHERE="0/0" # match any IP address CLASS_A="10.0.0.0/8" # class A private networks CLASS_B="172.16.0.0/12" # class B private networks CLASS_C="192.168.0.0/16" # class C private networks BROADCAST_SRC="0.0.0.0" # broadcast source address BROADCAST_DEST="255.255.255.255" # broadcast destination address PRIVPORTS="0-1023" # well known, privileged port range UNPRIVPORTS="1024:65535" # unprivileged port range ADMINS="192.168.0.1" INTERNAL_FTN="192.168.0.1" FTN_PORT="60179" # ----------------------------------------------------------------------------     # Remove all existing rules belonging to this filter     iptables -F     iptables -F -t nat     # Remove any existing user-defined chains.     iptables -X # ----------------------------------------------------------------------------     # Set the default policy of the filter to deny.     iptables -P INPUT  DROP     iptables -P OUTPUT ACCEPT     iptables -P FORWARD DROP # Accept established connections     iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT     iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Unlimited traffic on the loopback interface.     iptables -A INPUT  --in-interface $LOOPBACK_INTERFACE  -j ACCEPT     iptables -A FORWARD --in-interface $LOOPBACK_INTERFACE -j ACCEPT # Unlimited traffic on the local interface.     iptables -A INPUT  --in-interface $INTERNAL_INTERFACE  -j ACCEPT     iptables -A FORWARD --in-interface $INTERNAL_INTERFACE -j ACCEPT # Masquerade internal traffic.     iptables -A POSTROUTING -t nat --out-interface $EXTERNAL_INTERFACE -j SNAT --to-source $IPADDR     # ------------------------------------------------------------------     # POP server (110)     # ---------------- # For remote POP3     iptables -A INPUT  --in-interface $EXTERNAL_INTERFACE --protocol tcp  \              --source-port $UNPRIVPORTS \              --destination $IPADDR --destination-port 110 -j REJECT echo "done"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Почему нет доступа к почтовым серверам?"
	Сообщение от Solo_Wolf on 21-Июл-04, 17:18  (MSK)
	_KAV_ Дело конечно как применять.... MASQ или SNAT.... Человек хотел ограничивать. Поэтому допускать отправление почты через внешние SMTP - мягко говоря - дать дырку для своих идиотов на рассылку вирусов и спама. Да и вообще - локальные сети пускай через общий SMTP ходят - какая причина в том, чтобы им позволять рассылать через чужой? А на SMTP можно проверять и резать вирусы... Да и POP3 тоже лучше сделать через fetchmail - тоже резать к чертовой матери вирусы и спам.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Почему нет доступа к почтовым серверам?"
	Сообщение от DogEater (ok) on 21-Июл-04, 17:40  (MSK)
	>Человек хотел ограничивать. >Поэтому допускать отправление почты через внешние SMTP - мягко говоря - дать >дырку для своих идиотов на рассылку вирусов и спама. Да и >вообще - локальные сети пускай через общий SMTP ходят - какая >причина в том, чтобы им позволять рассылать через чужой? А на >SMTP можно проверять и резать вирусы... Да и POP3 тоже лучше >сделать через fetchmail - тоже резать к чертовой матери вирусы и >спам. как это правильно! опять же fetchmail при таком раскладе - неиссякаемый источник пива :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Почему нет доступа к почтовым серверам?"
	Сообщение от Solo_Wolf on 21-Июл-04, 23:30  (MSK)
	>>Человек хотел ограничивать. >>Поэтому допускать отправление почты через внешние SMTP - мягко говоря - дать >>дырку для своих идиотов на рассылку вирусов и спама. Да и >>вообще - локальные сети пускай через общий SMTP ходят - какая >>причина в том, чтобы им позволять рассылать через чужой? А на >>SMTP можно проверять и резать вирусы... Да и POP3 тоже лучше >>сделать через fetchmail - тоже резать к чертовой матери вирусы и >>спам. >как это правильно! >опять же fetchmail при таком раскладе - неиссякаемый источник пива :) А зарабатывателей пива на непосредственных обязанностях - гнать из конторы. Даешь им доступ к личному каталогу на почтовом сервере и пускай сами вписывают туда свои ящики с паролями. А вот протоколы сбора почты - отдельным списком - админу. И любителей в рабочее время за деньги фирмы слать куно вообще лишать. P.S. Интернет сжигает деньги лучше сигарет, поскольку некурящие ползуют его больше (курящие делают перекуры).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Почему нет доступа к почтовым серверам?"
	Сообщение от _KAV_ (ok) on 21-Июл-04, 18:26  (MSK)
	>Дело конечно как применять.... MASQ или SNAT....   В случае наличия статического ip - однозначно SNAT - делает то же, но затраты ресурсов _намного_ меньше. MASQUERADE нужен при динамическом адресе. > >Человек хотел ограничивать. >Поэтому допускать отправление почты через внешние SMTP - мягко говоря - дать дырку для своих идиотов на рассылку вирусов и спама.   У меня закрыто, есть свой SMTP- я ж не весь конфиг привел. Но - человек задал вопрос, как работать с внешними серверами - я и ответил... Свой почтовик и фетчмейл - обход проблемы. А часть советов по iptables -  ну вообще как анекдот....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Почему нет доступа к почтовым серверам?"
	Сообщение от RebelX (ok) on 21-Июл-04, 23:15  (MSK)
	2 _KAV_: Насчет snat я полностью с Вами согласен. Masquarade здесь совершенно не уместен. А за правила и помощь большое спасибо! Утром проверю с 0.0.0.0/0 и напишу о результатах.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Почему нет доступа к почтовым серверам?"
	Сообщение от Solo_Wolf on 21-Июл-04, 23:24  (MSK)
	>>Дело конечно как применять.... MASQ или SNAT.... >  В случае наличия статического ip - однозначно SNAT - делает >то же, но затраты ресурсов _намного_ меньше. MASQUERADE нужен при динамическом >адресе. >> >>Человек хотел ограничивать. >>Поэтому допускать отправление почты через внешние SMTP - мягко говоря - дать дырку для своих идиотов на рассылку вирусов и спама. >  У меня закрыто, есть свой SMTP- я ж не весь >конфиг привел. Но - человек задал вопрос, как работать с внешними >серверами - я и ответил... Свой почтовик и фетчмейл - обход >проблемы. А часть советов по iptables -  ну вообще как >анекдот.... > Это были не советы. По поводу 0.0.0.0/0 понятно было сразу. Я не понял зачем человек писал эти правила? Он хотел ограничить или допустить? Если он хотел завернуть на себя, то тогда непонятно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Почему нет доступа к почтовым серверам?"
	Сообщение от _KAV_ (ok) on 22-Июл-04, 10:30  (MSK)
	>Это были не советы. По поводу 0.0.0.0/0 понятно было сразу. Я не >понял зачем человек писал эти правила? Он хотел ограничить или допустить? >Если он хотел завернуть на себя, то тогда непонятно. Ну, абсолютно понятно, что человек не вьехал в маршрутизацию... Все мы такими были. Свою задачу он сказал достаточно понятно - непонятно, почему начали отвечать _такое_. Совет по делу был только один - с 0/0, только там не было указано дополнительного reject по 110 извне. А почитать тред - ой...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "Почему нет доступа к почтовым серверам?"
Сообщение от zm0m on 29-Июл-04, 10:19  (MSK)
iptables -t nat -A POSTROUTING -s X.X.X.X -p tcp --dport 25 -j MASQUERADE iptables -t nat -A POSTROUTING -s X.X.X.X -p tcp --dport 110 -j MASQUERADE
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.