URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 32544
[ Назад ]

Исходное сообщение
"iptables <-> sendmail"

Отправлено sypersava , 21-Июл-03 17:56 
Привет всем!

Не подскажите ли какое правило (iptables) "разрешает" пускать почту на сервер?
Уходить уходит, а не принимается.
Пробовал так:

iptables -A INPUT -j ACCEPT -p tcp eth0 --dport pop3 -d 212.90.125.26
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i eth0 \-p tcp --sport pop3 -s 212.90.125.26 -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport pop3 -d 192.168.0.0/24 -j DROP

eth0 -> inet
eth1 -> local

По идее:
1. разрешить доступ по pop3 к серверу
2. разрешить доступ с сервера в сеть
3. запретить новые подключения через pop3 в локаль
или что не так?


Содержание

Сообщения в этом обсуждении
"iptables <-> sendmail"
Отправлено forester , 22-Июл-03 02:50 
>1. разрешить доступ по pop3 к серверу
>2. разрешить доступ с сервера в сеть
>3. запретить новые подключения через pop3 в локаль
>или что не так?
поясни 3 пункт


"iptables <-> sendmail"
Отправлено sypersava , 22-Июл-03 09:23 
>>или что не так?
>поясни 3 пункт
запрещение инициации подключения через pop3 к локальной сети...
может кто скинет пример цепочек?

"iptables <-> sendmail"
Отправлено sypersava , 22-Июл-03 12:16 
>Привет всем!
>
>Не подскажите ли какое правило (iptables) "разрешает" пускать почту на сервер?
>Уходить уходит, а не принимается.

Народ!
Не игнорируйте!
Sendmail не принимает мыло, скорее всего я в iptables все позапрещал, а что не пойму...


"iptables <-> sendmail"
Отправлено rrebel , 22-Июл-03 13:11 
чтобы принимал надо разрешить с 25 на 25-й твой тисипи
чтобы клиенты слали то с любого на твой 25-й
по-моему так



"iptables <-> sendmail"
Отправлено sypersava , 22-Июл-03 13:38 
>чтобы принимал надо разрешить с 25 на 25-й твой тисипи
>чтобы клиенты слали то с любого на твой 25-й
>по-моему так


так 25 - smtp, исходящий, почта отправляется с сервера, а pop3 не принимается, то есть между лакалью и сервером все Ок!, и приходит и уходит, а между инетом и сервером только уходит :-(


"iptables <-> sendmail"
Отправлено Dima , 22-Июл-03 14:01 
Так разреши что бы к тебе на сервер к 25 порту конектились
iptables -A INPUT -j ACCEPT -p tcp eth0 --dport 25

"iptables <-> sendmail"
Отправлено sypersava , 23-Июл-03 12:33 
>Так разреши что бы к тебе на сервер к 25 порту конектились
>
>iptables -A INPUT -j ACCEPT -p tcp eth0 --dport 25


Разрешил, и так тоже:
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s $INET_IP --sport 25

Не принимает!
Может icmp и udp тоже надо пропускать?


"iptables <-> sendmail"
Отправлено thehangedman , 23-Июл-03 13:06 
ты бы вобще, попробовал файерволл отключить, у тебя сендмэйл заработает?
а потом попробуй поочередно политики input и output менять, чтобы узнать где проблема
и эти цепочки -
iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport pop3 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s $INET_IP --sport 25
все же посмотри еще раз, слишком хитроумно написаны - например откуда у тебя пакеты на инетовский интерфейс с -d 192.168.0.x в первой цепочке? и почему во второй цепочке sport 25? странно это все

"iptables <-> sendmail"
Отправлено sypersava , 23-Июл-03 15:42 
>ты бы вобще, попробовал файерволл отключить, у тебя сендмэйл заработает?

Тут все Ок!, нет есть через сквид, почта есть через сендмайл, но людям стало мало, надо забирать мыло с удаленных серверов, приходится открывать сервер и ставить firewall - iptables. Все нормально работало и работает, только мыло с инета не приходит, видимо закрыт доступ.

>а потом попробуй поочередно политики input и output менять, чтобы узнать где
>проблема
>и эти цепочки -
>iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport
>pop3 -d 192.168.0.0/24 -j DROP
>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s
>$INET_IP --sport 25
>все же посмотри еще раз, слишком хитроумно написаны - например откуда у
>тебя пакеты на инетовский интерфейс с -d 192.168.0.x в первой цепочке?
>и почему во второй цепочке sport 25? странно это все

ну вроде там закрыт доступ с инта в локаль по 25 порту - строка с OUTPUT, и разрешить доступ с 25 порта из инета на 25 порт сервера, вроде так :-|



"iptables <-> sendmail"
Отправлено thehangedman , 23-Июл-03 16:28 
>>ты бы вобще, попробовал файерволл отключить, у тебя сендмэйл заработает?
>
>Тут все Ок!, нет есть через сквид, почта есть через сендмайл, но
>людям стало мало, надо забирать мыло с удаленных серверов, приходится открывать
>сервер и ставить firewall - iptables. Все нормально работало и работает,
>только мыло с инета не приходит, видимо закрыт доступ.
>
так а попробовал открыть без файерволла, может и не в нем дело, а в сендмэйле?

>>а потом попробуй поочередно политики input и output менять, чтобы узнать где
>>проблема
>>и эти цепочки -
>>iptables -A OUTPUT -m state --state NEW -o eth0 -p tcp \--sport
>>pop3 -d 192.168.0.0/24 -j DROP
>>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s
>>$INET_IP --sport 25
>>все же посмотри еще раз, слишком хитроумно написаны - например откуда у
>>тебя пакеты на инетовский интерфейс с -d 192.168.0.x в первой цепочке?
>>и почему во второй цепочке sport 25? странно это все
>
>ну вроде там закрыт доступ с инта в локаль по 25 порту
>- строка с OUTPUT, и разрешить доступ с 25 порта из
>инета на 25 порт сервера, вроде так :-|

так с инета в 192.168.0.0 никто стучаться и без того не будет, да и в любом случае в локаль с внешнего интерфейса eth0 не достучаться, а что до второго правила - тисипи-клиент не будет с 25го порта стучаться, и потом тогда интересно, что это за $inet_ip, который стучится с 25го порта на твой 25й порт?


"iptables <-> sendmail"
Отправлено sypersava , 23-Июл-03 16:52 
>так а попробовал открыть без файерволла, может и не в нем дело,
>а в сендмэйле?
>
да все работает!!!
поставил файерволл - сендмейл **"перестал"** получать мыло с инета!!!

>
>так с инета в 192.168.0.0 никто стучаться и без того не будет,
>да и в любом случае в локаль с внешнего интерфейса eth0
>не достучаться, а что до второго правила - тисипи-клиент не будет
>с 25го порта стучаться, и потом тогда интересно, что это за
>$inet_ip, который стучится с 25го порта на твой 25й порт?

192.168.0.0 - моя подсеть (/24 ;-)), а стучиться он (вроде по моей идее;-)) с 25 порта откудато у себя на 25 порт $ip_net (который и есть **"мой"** ip адрес).
Вот проде обьяснил. Может у кого есть примерчик скриптика где сендмейл работает (с **"файерволлом"**)?



"iptables <-> sendmail"
Отправлено naf , 23-Июл-03 18:00 

>Разрешил, и так тоже:
>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -s
>$INET_IP --sport 25

Убери "--sport 25"
Как правило исодящий порт не 25й ;))))



"iptables <-> sendmail"
Отправлено Vital , 23-Июл-03 17:26 
>>чтобы принимал надо разрешить с 25 на 25-й твой тисипи
>>чтобы клиенты слали то с любого на твой 25-й
>>по-моему так

Абсолютно верно.

>так 25 - smtp, исходящий, почта отправляется с сервера

Если из локалки смотреть - то да. А другие сервера к тебе ложат почту именно на 25 порт. Поэтому если хочешь принимать почту разреши любому IP коннектиться на 25 порт.


"iptables <-> sendmail"
Отправлено sypersava , 23-Июл-03 17:48 
>Если из локалки смотреть - то да. А другие сервера к тебе
>ложат почту именно на 25 порт. Поэтому если хочешь принимать почту
>разреши любому IP коннектиться на 25 порт.

iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -d $MY_IP

вроде так? только не так...



"iptables <-> sendmail"
Отправлено Vital , 23-Июл-03 18:01 
>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -d
>$MY_IP
>
>вроде так? только не так...

По идее так. А что не так?


"iptables <-> sendmail"
Отправлено sypersava , 24-Июл-03 09:20 
>>iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25 -d
>>$MY_IP
>>
>>вроде так? только не так...
>
>По идее так. А что не так?


Спасибо народ! Это я по своей тупизне и непониманию сначала сделал так:
iptables -A INPUT -m state --state NEW -i eth0 -j DROP
а потом когото пытаюсь пропустить...