Iptables, tem que ser fera !!!

Pelo amor de Deus,
Alguém que usa o RED HAT 9.0, pode me ajudar, ou não vou conseguir esta ajuda ??
Só o meu squid funciona, e já tentei tudo que é regra e dica pra funcionar o pop e smtp.
Alguém pode me enviar um exemplo completo de como está seu arquivo iptables , por favor !??!

Ficarei eternamente grato,

Meu uin 46103610

Valeu

vc pode utilizar o sendmail para ativar pop e SMTP

Antes de instalar o Sendmail, verifique se já existe
um servidor de e-mail operando .
Geralmente o postfix já vem instalado por padrão.

rpm -q postfix

Se ele estiver instalado renova-o através do comando:

rpm -e postfix --nodeps

Em seguida instale os pacotes do Sendmail e do Imap
Copie os arquivos de configuração para
/etc/mail e altere-os conforme sua necessidade.

Lembrando que o seu servidor DNS já deve estar
configurado e operando.
Ao final da configuração rode o servidor.

Em seguida edite o arquivo /etc/inetd.conf
e remova o comentário da linha que faz referência
a pop-3 exemplo:

pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d

salve e saia.

Inicialize o servidor inet .

Rode o nmap ou outro equivalente e verifique se as portas
25 e 110 estão abertas.


os seus usuários que forem possuir uma conta de e-mail devem
ser adicionados ao sistema como sendo usuários normais, porém
ele não poderão logar no sistema Linux, apenas receber e
enviar e-mails. Após adicionar o usuário, altere a shell no qual
ele irá se logar.

vi /etc/passwd

Troque:

gnuser:x:500:500: pinesso:/home/gnuser:/bin/bash

Para:

gnuser:x:500:500: pinesso:/home/gnuser:/bin/false

Percebeu a diferença? Repare bem.

Para vc ativar o SMTP vc tem que editar o arquivo sendmail.cf e descomentar as linhas referentes ao SMTP.

dai blzinha <IMG SRC="images/forum/icons/icon_biggrin.gif">

Este é o modo pelo sendmail não sei se isto lhe interessa, mas de qualquer modo espero ter ajudado.


MS-Windows, oq é isso?

[ Esta mensagem foi editada por: Gnuser em 15-09-2003 13:49 ]

[ Esta mensagem foi editada por: Gnuser em 15-09-2003 13:50 ]

Gnuser..
Me expressei mal, desculpe...
O meu problema, é que uso o Squid para server estações Ruindows, para www.
Preciso de scripts iptables p/ acesso pop3 e smtp, das coisinhas da microsoft.

Minhas regras abaixo...

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X


iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A PREROUTING -s 200.207.23x.9x -i eth0 -j DNAT --to 10.70.2.14
iptables -t nat -A POSTROUTING -s 200.207.23x.9x -o eth0 -p tcp --dport 25
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -j SNAT --to 200.207.23x.9x
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -p tcp --dport 25 -j ACCEPT

iptables -t nat -A PREROUTING -s 200.207.23x.9x -i eth0 -j DNAT --to 10.70.2.14
iptables -t nat -A POSTROUTING -s 200.207.23x.9x -o eth0 -p tcp --dport 110
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -j SNAT --to 200.207.23x.9x
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -p tcp --dport 110 -j ACCEPT

Será que preciso desabilitar ou abilitar algum outro serviço ??? O iptables nativo, não está rodando pra eitar conflitos com as minhas regras...

O que tá errado ?? Pq as estações não conseguem passar pelo Server Linux ??
Se vc ou outra pessoa souber, quebra essa pra mim q tá me dando mô dor de cabeça !!

Valeu ,

Abutre...

<IMG SRC="images/forum/icons/icon_frown.gif"> Deixa ver se eu entendi: Você quer que os usuarios tenham acesso as portas 25 e 110?

Sei la tenta por estes aqui:

iptables -A INPUT -p tcp --destination-port 25 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 110 -j ACCEPT

Dai tipo se vc for deixar so estas portas abertas dai vc usa:

iptables -A INPUT -p tcp --syn -j DROP

<IMG SRC="images/forum/icons/icon24.gif">

Gn,
Vou tentar estas que vc enviou, mas acho que até isso eu tentei.
Tô achando muito estranho isso !!!
Eu tinha usava ipchains e foi babinha configurar...
Valeu, qualquer coisa eu posto o q houve.
Abraço,

abutre.

Na boa eu ainda nao entendi o que vc quer dizer como pop/smtp, voce posta regras de SNAT e DNAT, jah te mostrei as regras de FORWARD para pop/smtp, o nosso amigo lhe mostrou regras de INPUT.

Afinal de contas? onde esta o SMTP server que vc quer se conectar? e QUEM vai se conectar neles ? o mesmo para o POP

Se liga...
Meu pop, tá em Provedor externo.
Tenho conexão ADSL aqui com uma eth0 local e eth1 ADSL.
As estações da minha rede, são Ruindows .
Meu server, é um Red Hat 9.0, rodando SQUID...
As estações estão conseguindo acessar a internet através do Squid, pela porta 3128.
Preciso que as estações, acessem suas contas, através do proxy...
iptables blablabla...mas até agora funfou tudo q tentei e não sei mais o que fazer.
Se alguém tem o mesmo esquema, eu gostaria de dar uma olhada no script e saber se está por save ou em arquivo no init.d.

Valeu a galera que tá tentando me ajudar ...
A irmandade do mundo Linux, é forte por estes gestos !!!

Se liga...
Meu pop, tá em Provedor externo.
Tenho conexão ADSL aqui com uma eth0 local e eth1 ADSL.
As estações da minha rede, são Ruindows .
Meu server, é um Red Hat 9.0, rodando SQUID...
As estações estão conseguindo acessar a internet através do Squid, pela porta 3128.
Preciso que as estações, acessem suas contas, através do proxy...
iptables blablabla...mas até agora funfou tudo q tentei e não sei mais o que fazer.
Se alguém tem o mesmo esquema, eu gostaria de dar uma olhada no script e saber se está por save ou em arquivo no init.d.

Valeu a galera que tá tentando me ajudar ...
A irmandade do mundo Linux, é forte por estes gestos !!!

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-09-15 15:34, Abutre wrote:
Se liga...
Meu pop, tá em Provedor externo.
Tenho conexão ADSL aqui com uma eth0 local e eth1 ADSL.
As estações da minha rede, são Ruindows .
Meu server, é um Red Hat 9.0, rodando SQUID...
As estações estão conseguindo acessar a internet através do Squid, pela porta 3128.
Preciso que as estações, acessem suas contas, através do proxy...
iptables blablabla...mas até agora funfou tudo q tentei e não sei mais o que fazer.
Se alguém tem o mesmo esquema, eu gostaria de dar uma olhada no script e saber se está por save ou em arquivo no init.d.

Valeu a galera que tá tentando me ajudar ...
A irmandade do mundo Linux, é forte por estes gestos !!!
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

to com essas regras e o outlook funfa normal, se é isso q vc precisa... (porta 25 e 110 liberadas)

#!/bin/bash
IPTABLES=/usr/sbin/iptables
MODPROBE=/sbin/modprobe
$MODPROBE ip_tables
$MODPROBE iptable_filter
$MODPROBE ip_conntrack
$MODPROBE iptable_nat
$MODPROBE ipt_LOG
$MODPROBE ipt_state
$MODPROBE ipt_MASQUERADE
#
$IPTABLES -F
$IPTABLES -Z
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#
$IPTABLES -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$IPTABLES -A INPUT -p ALL -s 10.0.0.1 -i lo -j ACCEPT
$IPTABLES -A INPUT -p ALL -s 200.204.150.145 -i lo -j ACCEPT
#
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#
$IPTABLES -A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.204.150.145 -j ACCEPT
$IPTABLES -A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.204.150.145 -j ACCEPT
##
$IPTABLES -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
$IPTABLES -A INPUT -i eth1 -f -j DROP
##
$IPTABLES -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
$IPTABLES -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
$IPTABLES -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
$IPTABLES -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
##
$IPTABLES -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type 0 -j ACCEPT
##
$IPTABLES -A INPUT -p TCP -i eth0 -s 10.0.0.0/8 --dport 3128 -j ACCEPT
##
$IPTABLES -A INPUT -p TCP --dport 5191 -j ACCEPT
##
$IPTABLES -A INPUT -p TCP -i eth1 --sport 80 -j ACCEPT
$IPTABLES -A INPUT -p TCP -i eth1 --sport 443 -j ACCEPT
##
$IPTABLES -A INPUT -p TCP -s 10.0.0.2 -d 10.0.0.1 --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p TCP -s 10.0.0.2 -d 10.0.0.1 --dport 443 -j ACCEPT
##
$IPTABLES -A INPUT -p tcp --dport 80 -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -j LOG --log-prefix "Pacote input descartado: "
$IPTABLES -A INPUT -j DROP
##
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
##
$IPTABLES -A FORWARD -s 0.0.0.0 -d 10.0.0.2 -j ACCEPT
$IPTABLES -A FORWARD -s 10.0.0.2 -d 0.0.0.0 -j ACCEPT
##
$IPTABLES -A FORWARD -p udp -s 10.0.0.0/8 -d 200.204.0.10 --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 10.0.0.0/8 -d 200.204.0.138 --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 10.0.0.0/8 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 200.204.0.138 --sport 53 -d 10.0.0.0/8 -j ACCEPT
##
$IPTABLES -A FORWARD -p TCP -s 10.0.0.0/8 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -s 10.0.0.0/8 --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 110 -j ACCEPT
##
$IPTABLES -A FORWARD -j LOG --log-prefix "Pacote forward descartado: "
$IPTABLES -A FORWARD -j DROP
##
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE


blz? eth1 = ip externo eth0 interno

Libera o INPUT eo FORWARD das portas utilizadas pelo POP e SMTP


A Marcio

Ola amigo acho que o seu erro esta aqui ...

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X
-----------------------------

tente colocar assim

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

de uma olhada na documentação do netfilter pois suas regras de DNAT não estão legais !!!!!!!!!!!!!

Já tinha desistido disso, mas voltarei a tentar !!
Valeu a toda a Galera !!!
Vcs são os melhores...

Abutre

Abutre!

Vou dividir esta com você.
Também preciso implementar o recurso de envio e recebimento de e-mails, minha distro é a CL8 (pretendo mudar para RH9, me falaram que as regras são as mesmas; primeiramente vou tentar implementar as regras no CL8; depois que estiver funfando no CL8, vou migrar tudo que eu tenho neste server (atualmente tenho o proxy e firewall) para RH9.
Você já conseguiu fazer funcionar este recurso no conectiva 8?
Obrigado.

Gerente, Val e Abutre,
Pelo que entendi voces querem que o server busque o mail em pops espalhados pela net, e armazene nele, como se ele fosse um pop,
e isso?

Caro,

Use as seguintes Regras

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F

iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE
iptables -A FORWARD -i ethX -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 110 -j ACCEPT



FALOU,

OBS.: NAO A SEGURANCA APENAS REGRA QUE FUNCIONA... <IMG SRC="images/forum/icons/icon_smile.gif">

da uma olhada ai http://www.conectiva.com.br/cpub/pt/incConectiva/suporte/pr/cnc.edison.squid.liberar.email.html

vonlinkerstain!

Não. Eu quero apenas que as minhas estações de trabalho (Windows 2000 Pro.) acessem suas contas de e-mail externas (pop3 e smtp são externos);
Na verdade as estações só fazems requisições as portas 25 e 110 feitas do firewall (onde eu tenho que colocar estas regras)e vão buscar os e-mails externamente. Não fica nada no server.
Endendeu vonlinkerstain?

Obrigado.

__________________



rdsat!

as regras do link são para ipchains, como ficaria com iptables?

Obrigado!

__________________

wrochal2002!

Vou testar esta dica e colocarei o resultado aqui.

Obrigado.

Sim compreendi Wal,
E que eu estava pensando em fazer, o tipo de um proxy de email aqui.... O server baixa as mensagens dos pops setados e armazena neles, assim mesmo que eu fique de f&acute;erias, a minha caixa de correio (gratis) nao fica lotada sacou?
Da pra fazer isso?

Abutre, desculpe-me atravessar no seu topico assim,.....