форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Нет доступа к внешним почтовикам!"
Сообщение от RebelX (ok) on 06-Фев-05, 12:45  (MSK)
Доброго времени суток! Проблема возникла давно, но сейчас стала особенно острой. Клиенты моей сети не имеют доступ к внешним почтовым серверам через почтовые клиенты. Всему виной следующая строчка в фаерволе на шлюзе: #echo "1" > /proc/sys/net/ipv4/ip_forward Да, я закомментировал форвардинг. Дело в том, что при включенном форвардинге некоторые установленные у пользователей приложения (автообновления, трояны, "анонимная" статистика и т.п.) успешно лезут в Интернет. Как можно обойти использование форвардинга для доставки почты? На шлюзе стоит squid. Выдержки из правил фаервола: ------------------------------------------- #echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat   -A POSTROUTING -s $2 --out-interface eth1 -j SNAT --to-source 195.xxx.xxx.xxx iptables -t filter -A INPUT   -p tcp --sport 1024:65535 -d 195.xxx.xxx.xxx --dport 110 --in-interface eth1 -j REJECT iptables -t filter -A INPUT -p tcp -s $2 -d 0.0.0.0/0 --dport 25 -i eth0 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $2 -d 0.0.0.0/0 --dport 110 -i eth0 -j ACCEPT iptables -t filter -A FORWARD -p tcp -s $2 -d 0.0.0.0/0 --dport 25 -i eth0 -j ACCEPT iptables -t filter -A FORWARD -p tcp -s $2 -d 0.0.0.0/0 --dport 110 -i eth0 -j ACCEPT iptables -A FORWARD -s $2 -d 0.0.0.0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT --------------------------------- 195.xxx.xxx.xxx - мой внешний ip $2 - маска ip клиентов Заранее спасибо!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Нет доступа к внешним почтовикам!"
Сообщение от deys (??) on 07-Фев-05, 08:28  (MSK)
как вариант поставь свой почтовик для своих пользователей и настрой фечмайл для сбора почты с их ящиков допустим раз в пол часа в рабочее время и пускай они через него и работают с почтой.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Нет доступа к внешним почтовикам!"
Сообщение от serg2 on 07-Фев-05, 09:19  (MSK)
Может попробовать socks5 сервер ? Тогда все ходить чеоез него станут - и маршрутизация станет не нужна....
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Нет доступа к внешним почтовикам!"
	Сообщение от RebelX (ok) on 07-Фев-05, 09:27  (MSK)
	> >Может попробовать >socks5 сервер ? > >Тогда все ходить чеоез него станут - и маршрутизация станет не нужна.... > А в мастдаевских почтовых клиентах (outlook, the bat) есть возможность указать адрес прокси или socks-сервера? По-мойму нет... :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Нет доступа к внешним почтовикам!"
	Сообщение от crash (ok) on 07-Фев-05, 10:24  (MSK)
	>> >>Может попробовать >>socks5 сервер ? >> >>Тогда все ходить чеоез него станут - и маршрутизация станет не нужна.... >> > >А в мастдаевских почтовых клиентах (outlook, the bat) есть возможность указать адрес >прокси или socks-сервера? >По-мойму нет... :( для этого используется сокс клиент и через него запускает бат, аутглюк и др. программы
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Нет доступа к внешним почтовикам!"
	Сообщение от _KAV_ (ok) on 07-Фев-05, 10:52  (MSK)
	А кто запретил включить форвард и настроить файрвол так, чтоб форвард разрешался только по 110 порту? И никаких заморочек P.S. В твоем файрвольном скрипте отсутствует определение политик по умолчанию - следовательно, все ACCEPT
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Нет доступа к внешним почтовикам!"
	Сообщение от RebelX (ok) on 08-Фев-05, 10:00  (MSK)
	>А кто запретил включить форвард и настроить файрвол так, чтоб форвард разрешался >только по 110 порту? И никаких заморочек >P.S. В твоем файрвольном скрипте отсутствует определение политик по умолчанию - следовательно, >все ACCEPT Ок, я давно думал сменить политику на запрещающую. Подскажите, пожалуйста, две вещи: 1. "чтоб форвард разрешался только по 110 порту?" - мне надо будет сделать это в цепочке форвард и все? 2. Какие порты оставить открытыми для локальных xwindow, gnome?   Спасибо!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Нет доступа к внешним почтовикам!"
	Сообщение от _KAV_ (ok) on 08-Фев-05, 10:37  (MSK)
	> >1. "чтоб форвард разрешался только по 110 порту?" - мне надо будет >сделать это в цепочке форвард и все? Да > >2. Какие порты оставить открытыми для локальных xwindow, gnome? Т.к. Вы, похоже, не сильны в iptables, вот несколько советов... Политики - инпут и форвард - дроп, аутпут - ассепт (аутпут - это не выход наружу, это выход от процессов сервера) Инпут - разрешить из локального интерфейса Форвард - разрешить себе и доверенным, разрешить по сервисам Дополнительно вписать, что инпут извне по 110-му порту режектить, а не дропать - иначе забор почты с внешнего POP3 обломается на маскараде Ну, и открыть с инетовского интерфейса предоставляемые наружу сервисы, такие как www, ftp, dns (если они предоставляются с Вашего сервера в инет)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Нет доступа к внешним почтовикам!"
	Сообщение от RebelX (ok) on 08-Фев-05, 10:49  (MSK)
	>> >>1. "чтоб форвард разрешался только по 110 порту?" - мне надо будет >>сделать это в цепочке форвард и все? >Да >> >>2. Какие порты оставить открытыми для локальных xwindow, gnome? >Т.к. Вы, похоже, не сильны в iptables, вот несколько советов... >Политики - инпут и форвард - дроп, аутпут - ассепт (аутпут - >это не выход наружу, это выход от процессов сервера) >Инпут - разрешить из локального интерфейса >Форвард - разрешить себе и доверенным, разрешить по сервисам >Дополнительно вписать, что инпут извне по 110-му порту режектить, а не дропать >- иначе забор почты с внешнего POP3 обломается на маскараде >Ну, и открыть с инетовского интерфейса предоставляемые наружу сервисы, такие как www, >ftp, dns (если они предоставляются с Вашего сервера в инет) :) все написанное выше я знаю... можно было бы понять из приведенного в начале куска правил. Почему "не сильны в iptables"? Я спрашиваю не по нюансам фаервола, а вообще о маршрутизации и открытых портах... А на поставленные вопросы ответить сложно? Какие порты оставить открытыми для локальных xwindow, gnome?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Нет доступа к внешним почтовикам!"
	Сообщение от _KAV_ (ok) on 08-Фев-05, 11:22  (MSK)
	>:) все написанное выше я знаю... можно было бы понять из приведенного >в начале куска правил. Почему "не сильны в iptables"? Я спрашиваю >не по нюансам фаервола, а вообще о маршрутизации и открытых портах... Сорри... но из приведеных правил я таки сделал вывод о незнании iptables - иначе бы вопроса о том, почему подключаются, не стоял бы. Я просто хотел оптом закрыть вопрос. > >А на поставленные вопросы ответить сложно? >Какие порты оставить открытыми для локальных xwindow, gnome? 1 - вот выдержка из /etc/services, который имеется и на Вашей машине x11             6000/tcp   #6000-6063 are assigned to X Window System x11             6000/udp x11-ssh         6010/tcp   #Unofficial name, for convenience x11-ssh         6010/udp Гном, как оболочка рабоающая на иксах, своего не требует 2 - в инет иксы открывать стремно, а я рекомендовал сделать открытый инпут с локального интерфейса. При этом отдельного разрешения для иксов не требуется. На вопросы ответил? Ж8-) P.S. А для _локальных_ (не торчащих ни в какую сеть) просто нужно открыть инпут с лопбэка... или Вы и для lo будете ограничения ставить ? Ж8-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Нет доступа к внешним почтовикам!"
	Сообщение от RebelX (ok) on 08-Фев-05, 11:37  (MSK)
	>>:) все написанное выше я знаю... можно было бы понять из приведенного >>в начале куска правил. Почему "не сильны в iptables"? Я спрашиваю >>не по нюансам фаервола, а вообще о маршрутизации и открытых портах... >Сорри... но из приведеных правил я таки сделал вывод о незнании iptables >- иначе бы вопроса о том, почему подключаются, не стоял бы. >Я просто хотел оптом закрыть вопрос. >> >>А на поставленные вопросы ответить сложно? >>Какие порты оставить открытыми для локальных xwindow, gnome? >1 - вот выдержка из /etc/services, который имеется и на Вашей машине > >x11             > 6000/tcp   #6000-6063 are assigned to X Window System > >x11             > 6000/udp >x11-ssh         6010/tcp   >#Unofficial name, for convenience >x11-ssh         6010/udp >Гном, как оболочка рабоающая на иксах, своего не требует >2 - в инет иксы открывать стремно, а я рекомендовал сделать открытый >инпут с локального интерфейса. При этом отдельного разрешения для иксов не >требуется. >На вопросы ответил? Ж8-) >P.S. А для _локальных_ (не торчащих ни в какую сеть) просто нужно >открыть инпут с лопбэка... или Вы и для lo будете ограничения >ставить ? Ж8-) Другое дело... :) Большое спасибо!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Нет доступа к внешним почтовикам!"
	Сообщение от dimus (??) on 08-Фев-05, 13:18  (MSK)
	1. Поищи на этом сайте прекрасный учебник по iptables. Там есть примеры и все очень хорошо написано. 2. Если люди любят mp3 и т.п., то не открывай фтп - пусть лезут через сквид, иначе оплата за трафик превзойдет все ваши самые чудовищные опасения.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Нет доступа к внешним почтовикам!"
	Сообщение от RebelX (ok) on 10-Фев-05, 22:58  (MSK)
	>1. Поищи на этом сайте прекрасный учебник по iptables. Там есть примеры >и все очень хорошо написано. >2. Если люди любят mp3 и т.п., то не открывай фтп - >пусть лезут через сквид, иначе оплата за трафик превзойдет все ваши >самые чудовищные опасения. ок, спасибо!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Нет доступа к внешним почтовикам!"
	Сообщение от Junior (ok) on 11-Фев-05, 07:28  (MSK)
	>2. Если люди любят mp3 и т.п., то не открывай фтп - >пусть лезут через сквид, иначе оплата за трафик превзойдет все ваши >самые чудовищные опасения. Насколько я помню - SQUID - это http-proxy с поддержкой ftp. Все ftp соединения лучше пускать через нат, контролируя трафик на скачку другим образом. Ибо интенсивность передачи по ftp намного большая, чем по http. В patch-o-matic-ng есть много других способов контроля за скачиванием файлов (модули string, connlimit, connbyte, dstlimit и другие). Правда для этого прийдётся пересобрать ядро и iptables, чтобы включить поддержку этих модулей (накладывать патч на ядро и исходники iptables). Но я не думаю. что это проблема.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.