Iptables + Outlook + Squid

Westm · 30-05-2008, 12:20

Olá a todos,

Sou novato em linux (experiencia quase zero) e estou com o seguinte problema. Consigo navegar normalmente na internet em todas as maquinas da rede, porem não consigo enviar e receber emails pelo outlook. Pesquisei bastante sobre regras de firewall, fiz testes, porem sem sucesso.

Tenho o seguinte ambiente:
- Servidor com win2000 server (Controlador de dominio, dns, dhcp, MSSQLServer)

Servidor de acesso a internet com Fedora 8 (Squid, Iptables)
- Obs: Este não esta logando no domínio serve apenas para compartilhar a internet e o proxy não e transparente.

Outra coisa, nas estações, quando faço um ping, tanto pelo endereço ip quanto pelo endereço web não obtenho respostas.

Contando com a esperiencia de todos, gostaria de saber o que esta errado como proceder para resolver estes problemas.

Desde já agradeço.

Magnun · 30-05-2008, 23:05

Como estão as regras do iptables?? Posta elas pra gente poder dá uma olhada...
Para listar as regras do iptables na tabela filter: iptables -nL
Para listar as regras do iptables na tabela nat: iptables -t nat -nL

Westm · 31-05-2008, 10:08

Caro Magnum,

Fico devendo as regras, porém segue o conteúdo do arquivo de configuração. Consegui este arquivo na net e por julgar serem necessarias fiz apenas adaptações.

Obrigado.

=================================== ============
!/bin/sh

#Variaveis
MODPROBE=/sbin/modprobe

IPTABLES=/sbin/iptables

FACE_INTERNET="ppp0"

FACE_INTERNA="eth0"

REDE_INTERNA="192.168.0.0/255.255.255.0"

DNS_VELOX_PRI="200.165.132.154"
DNS_VELOX_SEC="200.149.55.142"

# Carregando #
$MODPROBE ip_tables
$MODPROBE ip_nat_ftp
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE iptable_nat
$MODPROBE iptable_filter
$MODPROBE ipt_state
$MODPROBE ipt_LOG
$MODPROBE ipt_REJECT
$MODPROBE ipt_MASQUERADE

# Limpando #
$IPTABLES -F
$IPTABLES -Z
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t nat -Z

# Setando politicas
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Proteçoes
#Impedindo scans
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Impedindo alteracao de rotas
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

# Protecao contra responses bogus
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Protecao contra syn-flood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Protecao contra traceroute
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

# Protecao contra IP Spoofing
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $i
done

# Regras
# --> INPUT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i lo -s 127.0.0.1/8 -d 127.0.0.1/8 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $FACE_INTERNA -s $REDE_INTERNA --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $FACE_INTERNA -s $REDE_INTERNA --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $FACE_INTERNA -p icmp -m limit --limit 2/s -j ACCEPT

$IPTABLES -A INPUT -m state --state INVALID -j DROP

# --> OUTPUT
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -o lo -s 127.0.0.1/8 -d 127.0.0.1/8 -j ACCEPT

$IPTABLES -A OUTPUT -m state --state INVALID -j DROP

# --> FORWARD
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# --> Resposta e acesso aos DNS
$IPTABLES -A FORWARD -p udp -s $REDE_INTERNA -d $DNS_VELOX_PRI --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $REDE_INTERNA -d $DNS_VELOX_SEC --dport 53 -j ACCEPT

$IPTABLES -A FORWARD -p udp -s $DNS_VELOX_PRI --sport 53 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $DNS_VELOX_SEC --sport 53 -d $REDE_INTERNA -j ACCEPT

# Para clientes de e-mail funcionar
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $REDE_INTERNA --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 25 -j ACCEPT
$IPTABLES -A FORWARD -p udp --sport 53 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 110 -j ACCEPT

$IPTABLES -A FORWARD -m state --state INVALID -j DROP

# --> NAT
# Para clientes de e-mail funcionar
$IPTABLES -t nat -A POSTROUTING -p udp -s $REDE_INTERNA --dport 53 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -p tcp -s $REDE_INTERNA --dport 25 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -p tcp -s $REDE_INTERNA --dport 110 -j MASQUERADE

# Redirecionando a porta 80 para o Squid
$IPTABLES -t nat -A PREROUTING -p tcp -i $FACE_INTERNA --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -p udp -i $FACE_INTERNA --dport 80 -j REDIRECT --to-port 3128

# Mascaramento
#$IPTABLES -t nat -A POSTROUTING -o $FACE_INTERNET -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $FACE_INTERNA -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE

# habilitando o roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
=================================== ==============

PEdroArthurJEdi · 31-05-2008, 18:41

Recomendo destivar o rp_filter (remover o IP Soofing)

Magnun · 01-06-2008, 0:20

O outlook ta utilizando algum serviço com segurança/criptografia?? SSL?? TLS??

30-05-2008, 12:20	#1 (permalink)
Westm Registrado em: May 2008 Localização: Pará Mensagens: 5 Agradeceu: 3 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Iptables + Outlook + Squid Olá a todos, Sou novato em linux (experiencia quase zero) e estou com o seguinte problema. Consigo navegar normalmente na internet em todas as maquinas da rede, porem não consigo enviar e receber emails pelo outlook. Pesquisei bastante sobre regras de firewall, fiz testes, porem sem sucesso. Tenho o seguinte ambiente: - Servidor com win2000 server (Controlador de dominio, dns, dhcp, MSSQLServer) Servidor de acesso a internet com Fedora 8 (Squid, Iptables) - Obs: Este não esta logando no domínio serve apenas para compartilhar a internet e o proxy não e transparente. Outra coisa, nas estações, quando faço um ping, tanto pelo endereço ip quanto pelo endereço web não obtenho respostas. Contando com a esperiencia de todos, gostaria de saber o que esta errado como proceder para resolver estes problemas. Desde já agradeço.

30-05-2008, 23:05	#2 (permalink)
Magnun Registrado em: Nov 2006 Localização: Distrito Federal Distribuição: Ubuntu 7.10 Mensagens: 431 Agradeceu: 102 Agradecido 60 vez(es) em 58 Posts Reputação: 91	Como estão as regras do iptables?? Posta elas pra gente poder dá uma olhada... Para listar as regras do iptables na tabela filter: iptables -nL Para listar as regras do iptables na tabela nat: iptables -t nat -nL __________________ If you choose not to decide, you still have made a choice." Freewill (Rush) Magnun Leno CISCO CCNA: CSCO10991731

31-05-2008, 10:08	#3 (permalink)
Westm Registrado em: May 2008 Localização: Pará Mensagens: 5 Agradeceu: 3 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Iptables + Outlook + Squid Caro Magnum, Fico devendo as regras, porém segue o conteúdo do arquivo de configuração. Consegui este arquivo na net e por julgar serem necessarias fiz apenas adaptações. Obrigado. =================================== ============ !/bin/sh #Variaveis MODPROBE=/sbin/modprobe IPTABLES=/sbin/iptables FACE_INTERNET="ppp0" FACE_INTERNA="eth0" REDE_INTERNA="192.168.0.0/255.255.255.0" DNS_VELOX_PRI="200.165.132.154" DNS_VELOX_SEC="200.149.55.142" # Carregando # $MODPROBE ip_tables $MODPROBE ip_nat_ftp $MODPROBE ip_conntrack $MODPROBE ip_conntrack_ftp $MODPROBE iptable_nat $MODPROBE iptable_filter $MODPROBE ipt_state $MODPROBE ipt_LOG $MODPROBE ipt_REJECT $MODPROBE ipt_MASQUERADE # Limpando # $IPTABLES -F $IPTABLES -Z $IPTABLES -X $IPTABLES -t nat -F $IPTABLES -t nat -X $IPTABLES -t nat -Z # Setando politicas $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP # Proteçoes #Impedindo scans echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Impedindo alteracao de rotas echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects # Protecao contra responses bogus echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # Protecao contra syn-flood echo 1 > /proc/sys/net/ipv4/tcp_syncookies # Protecao contra traceroute echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route # Protecao contra IP Spoofing for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $i done # Regras # --> INPUT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -i lo -s 127.0.0.1/8 -d 127.0.0.1/8 -j ACCEPT $IPTABLES -A INPUT -p tcp -i $FACE_INTERNA -s $REDE_INTERNA --dport 3128 -j ACCEPT $IPTABLES -A INPUT -p udp -i $FACE_INTERNA -s $REDE_INTERNA --dport 3128 -j ACCEPT $IPTABLES -A INPUT -i $FACE_INTERNA -p icmp -m limit --limit 2/s -j ACCEPT $IPTABLES -A INPUT -m state --state INVALID -j DROP # --> OUTPUT $IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o lo -s 127.0.0.1/8 -d 127.0.0.1/8 -j ACCEPT $IPTABLES -A OUTPUT -m state --state INVALID -j DROP # --> FORWARD $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # --> Resposta e acesso aos DNS $IPTABLES -A FORWARD -p udp -s $REDE_INTERNA -d $DNS_VELOX_PRI --dport 53 -j ACCEPT $IPTABLES -A FORWARD -p udp -s $REDE_INTERNA -d $DNS_VELOX_SEC --dport 53 -j ACCEPT $IPTABLES -A FORWARD -p udp -s $DNS_VELOX_PRI --sport 53 -d $REDE_INTERNA -j ACCEPT $IPTABLES -A FORWARD -p udp -s $DNS_VELOX_SEC --sport 53 -d $REDE_INTERNA -j ACCEPT # Para clientes de e-mail funcionar $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p udp -s $REDE_INTERNA --dport 53 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 110 -j ACCEPT $IPTABLES -A FORWARD -p tcp --sport 25 -j ACCEPT $IPTABLES -A FORWARD -p udp --sport 53 -j ACCEPT $IPTABLES -A FORWARD -p tcp --sport 110 -j ACCEPT $IPTABLES -A FORWARD -m state --state INVALID -j DROP # --> NAT # Para clientes de e-mail funcionar $IPTABLES -t nat -A POSTROUTING -p udp -s $REDE_INTERNA --dport 53 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -p tcp -s $REDE_INTERNA --dport 25 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -p tcp -s $REDE_INTERNA --dport 110 -j MASQUERADE # Redirecionando a porta 80 para o Squid $IPTABLES -t nat -A PREROUTING -p tcp -i $FACE_INTERNA --dport 80 -j REDIRECT --to-port 3128 $IPTABLES -t nat -A PREROUTING -p udp -i $FACE_INTERNA --dport 80 -j REDIRECT --to-port 3128 # Mascaramento #$IPTABLES -t nat -A POSTROUTING -o $FACE_INTERNET -j MASQUERADE #$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $FACE_INTERNA -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -j MASQUERADE # habilitando o roteamento echo 1 > /proc/sys/net/ipv4/ip_forward =================================== ==============

31-05-2008, 18:41	#4 (permalink)
PEdroArthurJEdi Registrado em: Sep 2007 Localização: Rio Grande do Norte Mensagens: 142 Agradeceu: 0 Agradecido 22 vez(es) em 17 Posts Reputação: 31	Recomendo destivar o rp_filter (remover o IP Soofing) __________________ Por mais que eu pinte um burro nas cores de uma zebra, um burro sempre será um burro! -- Prof. Dr. Antonio Ronaldo Garcia

01-06-2008, 0:20	#5 (permalink)
Magnun Registrado em: Nov 2006 Localização: Distrito Federal Distribuição: Ubuntu 7.10 Mensagens: 431 Agradeceu: 102 Agradecido 60 vez(es) em 58 Posts Reputação: 91	O outlook ta utilizando algum serviço com segurança/criptografia?? SSL?? TLS?? __________________ If you choose not to decide, you still have made a choice." Freewill (Rush) Magnun Leno CISCO CCNA: CSCO10991731

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
outlook nao funfa no squid.....msm dando as regras iptables	wladi	Proxy/NAT/Firewall	2	03-01-2005 9:01
Iptables + Outlook + Squid	ZEDjjs	Proxy/NAT/Firewall	20	09-12-2004 15:54
iptables + outlook	muganga	Proxy/NAT/Firewall	12	26-10-2004 8:45
iptables + outlook	Victor.derrico	Proxy/NAT/Firewall	1	05-05-2004 8:16
Iptables - outlook	AndrewAmorimdaSilva	Proxy/NAT/Firewall	16	09-01-2003 13:58