Привет всем!Не подскажите ли какое правило (iptables) "разрешает" пускать почту на сервер?
Уходить уходит, а не принимается.
Пробовал так:iptables -A INPUT -j ACCEPT -p tcp eth0 --dport pop3 -d 212.90.125.26
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i eth0 \-p tcp --sport pop3 -s 212.90.125.26 -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport pop3 -d 192.168.0.0/24 -j DROPeth0 -> inet
eth1 -> localПо идее:
1. разрешить доступ по pop3 к серверу
2. разрешить доступ с сервера в сеть
3. запретить новые подключения через pop3 в локаль
или что не так?
>1. разрешить доступ по pop3 к серверу
>2. разрешить доступ с сервера в сеть
>3. запретить новые подключения через pop3 в локаль
>или что не так?
поясни 3 пункт
>>или что не так?
>поясни 3 пункт
запрещение инициации подключения через pop3 к локальной сети...
может кто скинет пример цепочек?
>Привет всем!
>
>Не подскажите ли какое правило (iptables) "разрешает" пускать почту на сервер?
>Уходить уходит, а не принимается.Народ!
Не игнорируйте!
Sendmail не принимает мыло, скорее всего я в iptables все позапрещал, а что не пойму...
чтобы принимал надо разрешить с 25 на 25-й твой тисипи
чтобы клиенты слали то с любого на твой 25-й
по-моему так
>чтобы принимал надо разрешить с 25 на 25-й твой тисипи
>чтобы клиенты слали то с любого на твой 25-й
>по-моему так
так 25 - smtp, исходящий, почта отправляется с сервера, а pop3 не принимается, то есть между лакалью и сервером все Ок!, и приходит и уходит, а между инетом и сервером только уходит :-(
Так разреши что бы к тебе на сервер к 25 порту конектились
iptables -A INPUT -j ACCEPT -p tcp eth0 --dport 25
>Так разреши что бы к тебе на сервер к 25 порту конектились
>
>iptables -A INPUT -j ACCEPT -p tcp eth0 --dport 25
Разрешил, и так тоже:
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s $INET_IP --sport 25Не принимает!
Может icmp и udp тоже надо пропускать?
ты бы вобще, попробовал файерволл отключить, у тебя сендмэйл заработает?
а потом попробуй поочередно политики input и output менять, чтобы узнать где проблема
и эти цепочки -
iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport pop3 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s $INET_IP --sport 25
все же посмотри еще раз, слишком хитроумно написаны - например откуда у тебя пакеты на инетовский интерфейс с -d 192.168.0.x в первой цепочке? и почему во второй цепочке sport 25? странно это все
>ты бы вобще, попробовал файерволл отключить, у тебя сендмэйл заработает?Тут все Ок!, нет есть через сквид, почта есть через сендмайл, но людям стало мало, надо забирать мыло с удаленных серверов, приходится открывать сервер и ставить firewall - iptables. Все нормально работало и работает, только мыло с инета не приходит, видимо закрыт доступ.
>а потом попробуй поочередно политики input и output менять, чтобы узнать где
>проблема
>и эти цепочки -
>iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport
>pop3 -d 192.168.0.0/24 -j DROP
>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s
>$INET_IP --sport 25
>все же посмотри еще раз, слишком хитроумно написаны - например откуда у
>тебя пакеты на инетовский интерфейс с -d 192.168.0.x в первой цепочке?
>и почему во второй цепочке sport 25? странно это всену вроде там закрыт доступ с инта в локаль по 25 порту - строка с OUTPUT, и разрешить доступ с 25 порта из инета на 25 порт сервера, вроде так :-|
>>ты бы вобще, попробовал файерволл отключить, у тебя сендмэйл заработает?
>
>Тут все Ок!, нет есть через сквид, почта есть через сендмайл, но
>людям стало мало, надо забирать мыло с удаленных серверов, приходится открывать
>сервер и ставить firewall - iptables. Все нормально работало и работает,
>только мыло с инета не приходит, видимо закрыт доступ.
>
так а попробовал открыть без файерволла, может и не в нем дело, а в сендмэйле?>>а потом попробуй поочередно политики input и output менять, чтобы узнать где
>>проблема
>>и эти цепочки -
>>iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport
>>pop3 -d 192.168.0.0/24 -j DROP
>>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s
>>$INET_IP --sport 25
>>все же посмотри еще раз, слишком хитроумно написаны - например откуда у
>>тебя пакеты на инетовский интерфейс с -d 192.168.0.x в первой цепочке?
>>и почему во второй цепочке sport 25? странно это все
>
>ну вроде там закрыт доступ с инта в локаль по 25 порту
>- строка с OUTPUT, и разрешить доступ с 25 порта из
>инета на 25 порт сервера, вроде так :-|так с инета в 192.168.0.0 никто стучаться и без того не будет, да и в любом случае в локаль с внешнего интерфейса eth0 не достучаться, а что до второго правила - тисипи-клиент не будет с 25го порта стучаться, и потом тогда интересно, что это за $inet_ip, который стучится с 25го порта на твой 25й порт?
>так а попробовал открыть без файерволла, может и не в нем дело,
>а в сендмэйле?
>
да все работает!!!
поставил файерволл - сендмейл **"перестал"** получать мыло с инета!!!>
>так с инета в 192.168.0.0 никто стучаться и без того не будет,
>да и в любом случае в локаль с внешнего интерфейса eth0
>не достучаться, а что до второго правила - тисипи-клиент не будет
>с 25го порта стучаться, и потом тогда интересно, что это за
>$inet_ip, который стучится с 25го порта на твой 25й порт?192.168.0.0 - моя подсеть (/24 ;-)), а стучиться он (вроде по моей идее;-)) с 25 порта откудато у себя на 25 порт $ip_net (который и есть **"мой"** ip адрес).
Вот проде обьяснил. Может у кого есть примерчик скриптика где сендмейл работает (с **"файерволлом"**)?
>Разрешил, и так тоже:
>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s
>$INET_IP --sport 25Убери "--sport 25"
Как правило исодящий порт не 25й ;))))
>>чтобы принимал надо разрешить с 25 на 25-й твой тисипи
>>чтобы клиенты слали то с любого на твой 25-й
>>по-моему такАбсолютно верно.
>так 25 - smtp, исходящий, почта отправляется с сервера
Если из локалки смотреть - то да. А другие сервера к тебе ложат почту именно на 25 порт. Поэтому если хочешь принимать почту разреши любому IP коннектиться на 25 порт.
>Если из локалки смотреть - то да. А другие сервера к тебе
>ложат почту именно на 25 порт. Поэтому если хочешь принимать почту
>разреши любому IP коннектиться на 25 порт.iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -d $MY_IP
вроде так? только не так...
>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -d
>$MY_IP
>
>вроде так? только не так...По идее так. А что не так?
>>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -d
>>$MY_IP
>>
>>вроде так? только не так...
>
>По идее так. А что не так?
Спасибо народ! Это я по своей тупизне и непониманию сначала сделал так:
iptables -A INPUT -m state --state NEW -i eth0 -j DROP
а потом когото пытаюсь пропустить...