URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 32544
[ Назад ]

Исходное сообщение
"iptables <-> sendmail"
Отправлено sypersava , 21-Июл-03 17:56

Привет всем!
Не подскажите ли какое правило (iptables) "разрешает" пускать почту на сервер?
Уходить уходит, а не принимается.
Пробовал так:
iptables -A INPUT -j ACCEPT -p tcp eth0 --dport pop3 -d 212.90.125.26
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i eth0 \-p tcp --sport pop3 -s 212.90.125.26 -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport pop3 -d 192.168.0.0/24 -j DROP
eth0 -> inet
eth1 -> local
По идее:
1. разрешить доступ по pop3 к серверу
2. разрешить доступ с сервера в сеть
3. запретить новые подключения через pop3 в локаль
или что не так?

Содержание

iptables <-> sendmail,forester, 02:50 , 22-Июл-03
- iptables <-> sendmail,sypersava, 09:23 , 22-Июл-03
iptables <-> sendmail,sypersava, 12:16 , 22-Июл-03
- iptables <-> sendmail,rrebel, 13:11 , 22-Июл-03
  - iptables <-> sendmail,sypersava, 13:38 , 22-Июл-03
    - iptables <-> sendmail,Dima, 14:01 , 22-Июл-03
      - iptables <-> sendmail,sypersava, 12:33 , 23-Июл-03
        
        iptables <-> sendmail,thehangedman, 13:06 , 23-Июл-03
        
        iptables <-> sendmail,sypersava, 15:42 , 23-Июл-03
        
        iptables <-> sendmail,thehangedman, 16:28 , 23-Июл-03
        
        iptables <-> sendmail,sypersava, 16:52 , 23-Июл-03
        
        iptables <-> sendmail,naf, 18:00 , 23-Июл-03
    - iptables <-> sendmail,Vital, 17:26 , 23-Июл-03
      - iptables <-> sendmail,sypersava, 17:48 , 23-Июл-03
        
        iptables <-> sendmail,Vital, 18:01 , 23-Июл-03
        
        iptables <-> sendmail,sypersava, 09:20 , 24-Июл-03

Сообщения в этом обсуждении

"iptables <-> sendmail"
Отправлено forester , 22-Июл-03 02:50

>1. разрешить доступ по pop3 к серверу
>2. разрешить доступ с сервера в сеть
>3. запретить новые подключения через pop3 в локаль
>или что не так?
поясни 3 пункт

"iptables <-> sendmail"
Отправлено sypersava , 22-Июл-03 09:23

>>или что не так?
>поясни 3 пункт
запрещение инициации подключения через pop3 к локальной сети...
может кто скинет пример цепочек?

"iptables <-> sendmail"
Отправлено sypersava , 22-Июл-03 12:16

>Привет всем!
>
>Не подскажите ли какое правило (iptables) "разрешает" пускать почту на сервер?
>Уходить уходит, а не принимается.
Народ!
Не игнорируйте!
Sendmail не принимает мыло, скорее всего я в iptables все позапрещал, а что не пойму...

"iptables <-> sendmail"
Отправлено rrebel , 22-Июл-03 13:11

чтобы принимал надо разрешить с 25 на 25-й твой тисипи
чтобы клиенты слали то с любого на твой 25-й
по-моему так

"iptables <-> sendmail"
Отправлено sypersava , 22-Июл-03 13:38

>чтобы принимал надо разрешить с 25 на 25-й твой тисипи
>чтобы клиенты слали то с любого на твой 25-й
>по-моему так

так 25 - smtp, исходящий, почта отправляется с сервера, а pop3 не принимается, то есть между лакалью и сервером все Ок!, и приходит и уходит, а между инетом и сервером только уходит :-(

"iptables <-> sendmail"
Отправлено Dima , 22-Июл-03 14:01

Так разреши что бы к тебе на сервер к 25 порту конектились
iptables -A INPUT -j ACCEPT -p tcp eth0 --dport 25

"iptables <-> sendmail"
Отправлено sypersava , 23-Июл-03 12:33

>Так разреши что бы к тебе на сервер к 25 порту конектились
>
>iptables -A INPUT -j ACCEPT -p tcp eth0 --dport 25

Разрешил, и так тоже:
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s $INET_IP --sport 25
Не принимает!
Может icmp и udp тоже надо пропускать?

"iptables <-> sendmail"
Отправлено thehangedman , 23-Июл-03 13:06

ты бы вобще, попробовал файерволл отключить, у тебя сендмэйл заработает?
а потом попробуй поочередно политики input и output менять, чтобы узнать где проблема
и эти цепочки -
iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport pop3 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s $INET_IP --sport 25
все же посмотри еще раз, слишком хитроумно написаны - например откуда у тебя пакеты на инетовский интерфейс с -d 192.168.0.x в первой цепочке? и почему во второй цепочке sport 25? странно это все

"iptables <-> sendmail"
Отправлено sypersava , 23-Июл-03 15:42

>ты бы вобще, попробовал файерволл отключить, у тебя сендмэйл заработает?
Тут все Ок!, нет есть через сквид, почта есть через сендмайл, но людям стало мало, надо забирать мыло с удаленных серверов, приходится открывать сервер и ставить firewall - iptables. Все нормально работало и работает, только мыло с инета не приходит, видимо закрыт доступ.
>а потом попробуй поочередно политики input и output менять, чтобы узнать где
>проблема
>и эти цепочки -
>iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport
>pop3 -d 192.168.0.0/24 -j DROP
>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s
>$INET_IP --sport 25
>все же посмотри еще раз, слишком хитроумно написаны - например откуда у
>тебя пакеты на инетовский интерфейс с -d 192.168.0.x в первой цепочке?
>и почему во второй цепочке sport 25? странно это все
ну вроде там закрыт доступ с инта в локаль по 25 порту - строка с OUTPUT, и разрешить доступ с 25 порта из инета на 25 порт сервера, вроде так :-|

"iptables <-> sendmail"
Отправлено thehangedman , 23-Июл-03 16:28

>>ты бы вобще, попробовал файерволл отключить, у тебя сендмэйл заработает?
>
>Тут все Ок!, нет есть через сквид, почта есть через сендмайл, но
>людям стало мало, надо забирать мыло с удаленных серверов, приходится открывать
>сервер и ставить firewall - iptables. Все нормально работало и работает,
>только мыло с инета не приходит, видимо закрыт доступ.
>
так а попробовал открыть без файерволла, может и не в нем дело, а в сендмэйле?
>>а потом попробуй поочередно политики input и output менять, чтобы узнать где
>>проблема
>>и эти цепочки -
>>iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport
>>pop3 -d 192.168.0.0/24 -j DROP
>>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s
>>$INET_IP --sport 25
>>все же посмотри еще раз, слишком хитроумно написаны - например откуда у
>>тебя пакеты на инетовский интерфейс с -d 192.168.0.x в первой цепочке?
>>и почему во второй цепочке sport 25? странно это все
>
>ну вроде там закрыт доступ с инта в локаль по 25 порту
>- строка с OUTPUT, и разрешить доступ с 25 порта из
>инета на 25 порт сервера, вроде так :-|
так с инета в 192.168.0.0 никто стучаться и без того не будет, да и в любом случае в локаль с внешнего интерфейса eth0 не достучаться, а что до второго правила - тисипи-клиент не будет с 25го порта стучаться, и потом тогда интересно, что это за $inet_ip, который стучится с 25го порта на твой 25й порт?

"iptables <-> sendmail"
Отправлено sypersava , 23-Июл-03 16:52

>так а попробовал открыть без файерволла, может и не в нем дело,
>а в сендмэйле?
>
да все работает!!!
поставил файерволл - сендмейл **"перестал"** получать мыло с инета!!!
>
>так с инета в 192.168.0.0 никто стучаться и без того не будет,
>да и в любом случае в локаль с внешнего интерфейса eth0
>не достучаться, а что до второго правила - тисипи-клиент не будет
>с 25го порта стучаться, и потом тогда интересно, что это за
>$inet_ip, который стучится с 25го порта на твой 25й порт?
192.168.0.0 - моя подсеть (/24 ;-)), а стучиться он (вроде по моей идее;-)) с 25 порта откудато у себя на 25 порт $ip_net (который и есть **"мой"** ip адрес).
Вот проде обьяснил. Может у кого есть примерчик скриптика где сендмейл работает (с **"файерволлом"**)?

"iptables <-> sendmail"
Отправлено naf , 23-Июл-03 18:00

>Разрешил, и так тоже:
>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s
>$INET_IP --sport 25
Убери "--sport 25"
Как правило исодящий порт не 25й ;))))

"iptables <-> sendmail"
Отправлено Vital , 23-Июл-03 17:26

>>чтобы принимал надо разрешить с 25 на 25-й твой тисипи
>>чтобы клиенты слали то с любого на твой 25-й
>>по-моему так
Абсолютно верно.
>так 25 - smtp, исходящий, почта отправляется с сервера
Если из локалки смотреть - то да. А другие сервера к тебе ложат почту именно на 25 порт. Поэтому если хочешь принимать почту разреши любому IP коннектиться на 25 порт.

"iptables <-> sendmail"
Отправлено sypersava , 23-Июл-03 17:48

>Если из локалки смотреть - то да. А другие сервера к тебе
>ложат почту именно на 25 порт. Поэтому если хочешь принимать почту
>разреши любому IP коннектиться на 25 порт.
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -d $MY_IP
вроде так? только не так...

"iptables <-> sendmail"
Отправлено Vital , 23-Июл-03 18:01

>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -d
>$MY_IP
>
>вроде так? только не так...
По идее так. А что не так?

"iptables <-> sendmail"
Отправлено sypersava , 24-Июл-03 09:20

>>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -d
>>$MY_IP
>>
>>вроде так? только не так...
>
>По идее так. А что не так?

Спасибо народ! Это я по своей тупизне и непониманию сначала сделал так:
iptables -A INPUT -m state --state NEW -i eth0 -j DROP
а потом когото пытаюсь пропустить...