smtp x firewall, helpme...

Pessoal, negocio meio urgente aki, espero q alguem possa me ajudar...

Apliquei as regras de iptables no servidor pra funcionar o proxy transparente, pop e smtp nos clientes... depois de muito trabalho, funcionou tudo menos o smtp.

http ta normal, com proxy transparente. Recebo emails nos clientes de email usando pop. Mas naum consigo enviar emails com o smtp no cliente de email.

Alguma ideia do q pode ser?

As regras q to usando são:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000

Estou fazendo os testes pelas config do yahoo, mas outros smtps tb naum funcionam:

pop.mail.yahoo.com.br 110
smtp.mail.yahoo.com.br 25

Aki vai o resultado de um iptables -L -t nat:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 2000

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Tanto pela makina cliente quanto pelo servidor eu consigo dar ping para o endereço de smtp normalmente.

A distribuição do servidor é Mandrake 10.0.

No agurado de um help... falow...

vc tentando enviar e o firewall ta barrando? os clientes sao rede interna? ja tento disativar o firewall e usar o smtp? qual servidor de smtp vc ta usando?

Citação:

---

Postado originalmente por Brenno

vc tentando enviar e o firewall ta barrando? os clientes sao rede interna? ja tento disativar o firewall e usar o smtp? qual servidor de smtp vc ta usando?

---

entao, nao sei se é o firewall q esta barrando, mas acredito q sim... ja desativei o firewall do mandrake e ja baixei o nivel de verificação no minimo, na opcao pobre... mesmo assim nada...

num proxy rodando numa makina windows funciona normalmente...

o smtp q estou usando é o smtp.mail.yahoo.com.br e smtp.sercomtel.com.br...

sim, as makinas clientes sao todas de uma rede interna conectadas ao servidor... na makina cliente tem como gateway o ip do servidor inclusive... tanto q até funciona proxy transparente e pop, normalmente.... só mesmo o smtp q naum...

tenta desativar o firewall, se vc conseguir manda com o firewall desativado, ai vc posta ae q eu te do a regra pra libera, mas mesmo com firewall desativado e vc tenta enviar e n o smtp n enviar, entao o problema é o servidor smtp..

Citação:

---

Postado originalmente por Brenno

tenta desativar o firewall, se vc conseguir manda com o firewall desativado, ai vc posta ae q eu te do a regra pra libera, mas mesmo com firewall desativado e vc tenta enviar e n o smtp n enviar, entao o problema é o servidor smtp..

---

cara, mesmo com firewalll desativado naum vai mesmo... dae naum sei se o problema é com o servidor smtp, pois ja tentei com:

smtp.mail.yahoo.com.br
smtp.sercomtel.com.br
smtp.terra.com.br

e nenhum funciona...

se vc puder fazer algo mais por mim, agradeço desde já... falow...

bom, já sabemos que o problema não eh o firewall, vamos agora pro servidor smtp. nessa parte eu não entedir direito.


vc tem um maquina que tem um servidor smtp instalado?
ou vc ta usando smtp de fora?

se tiver um servidor de smtp instalado fala qual nome dele (postfix sendmail etc)


depois de saber isso, da um tail -50 /var/log/mail.log
e cola aqui pra agente pode ver qual erro..

t+

Ja vi este erro acontecer antes e foi resolvido com uma regra que libera o acesso das maquinas para resolver os nomes (DNS)

Tente criar uma regra que o faça.. pode ser que resolva

Citação:

---

Postado originalmente por Brenno

bom, já sabemos que o problema não eh o firewall, vamos agora pro servidor smtp. nessa parte eu não entedir direito.


vc tem um maquina que tem um servidor smtp instalado?
ou vc ta usando smtp de fora?

se tiver um servidor de smtp instalado fala qual nome dele (postfix sendmail etc)


depois de saber isso, da um tail -50 /var/log/mail.log
e cola aqui pra agente pode ver qual erro..

t+

---

naõ, eu não tenho um servidor de smtp... estou tentando usar um de fora mesmo, mais ou menos assim:

|estação com cliente de email|----|servidor linux|----|internet/smtp|

por exemplo, quero usar um smtp do yahoo (smtp.mail.yahoo.com.br) ou da sercomtel (smtp.sercomtel.com.br)

em uma makina windows conectada diretamente na internet essas config no cliente de email funcionam normalmente, assim como o pop tb...

Citação:

---

Postado originalmente por DevLocKe

Ja vi este erro acontecer antes e foi resolvido com uma regra que libera o acesso das maquinas para resolver os nomes (DNS)

Tente criar uma regra que o faça.. pode ser que resolva

---

olá DevLocKe, e será q vc poderia me ajudar a fazer essas regras? não tenho muita experiencia ainda com isso...

valew....

faca o seguinte...
no seu firewall digite o seguinte comando

# tcpdump host ip_de_alguma_maquina_da_rede

va na maquina q vc colocou o ip acima e abra um cmd e digite o seguinte
> telnet smtp.sao.terra.com.br 25

deve aparecer isso
220 paramonga.terra.com.br ESMTP

caso contrario nao apareca essa mensagem volte ao servidor e verifique o trafego
provavelmente oque esta acontecendo eh q suas regras estao restringindo a resposta do servidor smtp, caso vc ache conveniente poste seus script de firewall aqui, caso vc nao tenha um, poste aqui.

Citação:

---

Postado originalmente por Anonymous

faca o seguinte...
no seu firewall digite o seguinte comando

# tcpdump host ip_de_alguma_maquina_da_rede

va na maquina q vc colocou o ip acima e abra um cmd e digite o seguinte
> telnet smtp.sao.terra.com.br 25

deve aparecer isso
220 paramonga.terra.com.br ESMTP

caso contrario nao apareca essa mensagem volte ao servidor e verifique o trafego
provavelmente oque esta acontecendo eh q suas regras estao restringindo a resposta do servidor smtp, caso vc ache conveniente poste seus script de firewall aqui, caso vc nao tenha um, poste aqui.

---

ok, vou fazer esses testes...

mas pra adiantar, eu naum tenho script de firewall, a menos q esteja em algum local q eu desconheça... porem, as unicas regras q estou usando até o momento são:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000

acredito que vc esteja utilizando uma distro redhat-like nesse caso existem regras de firewall pre-definidas

basicamente vc pode usar essas regras digite esses comandos em sequencia

# touch /root/setfw
# joe /root/setfw
(ou o editor que vc preferir)

copie o script abaixo eh cole dentro do arquivo
----- INICIO DE setfw -----
#!/bin/bash

inicia() {
echo Iniciando Firewall
iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i eth1 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -p tcp --dport 135 -j DROPED
iptables -A FORWARD -p udp -m multiport --dports 137,138 -j DROPED
iptables -A FORWARD -p tcp --dport 139 -j DROPED
iptables -A FORWARD -p tcp --dport 445 -j DROPED
iptables -A FORWARD -p udp --dport 445 -j DROPED
iptables -A FORWARD -p udp --dport 500 -j DROPED
iptables -A FORWARD -p tcp --dport 1039 -j DROPED
iptables -A FORWARD -p udp --dport 1050 -j DROPED
iptables -A FORWARD -p udp --dport 1065 -j DROPED
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
}

para() {
echo Parando Firewall *ATENCAO TODO TIPO DE ACESSO SERA LIBERADO*
iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
}

sossh() {
echo Habilitando acesso somente ao SSH *ATENCAO O FIREWALL FICARA ISOLADO*
iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat
iptables -t nat -P PREROUTING DROP
iptables -t nat -A PREROUTING -i lo -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -t nat -P POSTROUTING DROP
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -t nat -P OUTPUT DROP
iptables -t nat -A OUTPUT -o lo -j ACCEPT
iptables -t nat -A OUTPUT -o eth0 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -t nat -A OUTPUT -o eth1 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 22 -d 0/0 -j ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
}

limpa() {
echo Limpando contadores
iptables -Z
iptables -Z -t nat
}

case $1 in

start)
inicia
;;
stop)
para
;;
denyall)
sossh
;;
reset)
limpa
;;
*)
echo "Uso: $0 (start|stop|denyall|reset)"
;;
esac
----- FIM DE setfw -----

# chmod +x /root/setfw

esse script eh bem basico, teste ele e poste aqui o resultado.

# /root/setfw start

cara, subistui onde esta DROPED por DROP

Citação:

---

Postado originalmente por Anonymous

acredito que vc esteja utilizando uma distro redhat-like nesse caso existem regras de firewall pre-definidas

---

estou usando mandrake 10.0

Se não me fale eu posso ajudar
[email protected]

Jair Parreiras

Citação:

---

Postado originalmente por notreve

Pessoal, negocio meio urgente aki, espero q alguem possa me ajudar...

Apliquei as regras de iptables no servidor pra funcionar o proxy transparente, pop e smtp nos clientes... depois de muito trabalho, funcionou tudo menos o smtp.

http ta normal, com proxy transparente. Recebo emails nos clientes de email usando pop. Mas naum consigo enviar emails com o smtp no cliente de email.

Alguma ideia do q pode ser?

As regras q to usando são:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000

Estou fazendo os testes pelas config do yahoo, mas outros smtps tb naum funcionam:

pop.mail.yahoo.com.br 110
smtp.mail.yahoo.com.br 25

Aki vai o resultado de um iptables -L -t nat:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 2000

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Tanto pela makina cliente quanto pelo servidor eu consigo dar ping para o endereço de smtp normalmente.

A distribuição do servidor é Mandrake 10.0.

No agurado de um help... falow...

---

os smtp externos normalmente EXIGEM autenticação pop-antes-de-smtp ou similar. Alguns simplesmente rejeitam ´relay´. No /var/log/messages deve aparecer o que acontece (normalmente ´reject´).

examine assim:

# tail -f /var/log/messages

divirta-se :twisted:

Fio faz o seguinte
da o seguinte comando:

iptables -L

e posta ai o que aparecer!!!!
Spectrum

Citação:

---

Postado originalmente por notreve

Pessoal, negocio meio urgente aki, espero q alguem possa me ajudar...

Apliquei as regras de iptables no servidor pra funcionar o proxy transparente, pop e smtp nos clientes... depois de muito trabalho, funcionou tudo menos o smtp.

http ta normal, com proxy transparente. Recebo emails nos clientes de email usando pop. Mas naum consigo enviar emails com o smtp no cliente de email.

Alguma ideia do q pode ser?

As regras q to usando são:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000

Estou fazendo os testes pelas config do yahoo, mas outros smtps tb naum funcionam:

pop.mail.yahoo.com.br 110
smtp.mail.yahoo.com.br 25

Aki vai o resultado de um iptables -L -t nat:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 2000

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Tanto pela makina cliente quanto pelo servidor eu consigo dar ping para o endereço de smtp normalmente.

A distribuição do servidor é Mandrake 10.0.

No agurado de um help... falow...

---

Citação:

---

Postado originalmente por Anonymous

# /root/setfw start

---

aew, cara naum resolveu naum hein... eu vou mexer mais um pouco pra ver, mas naum tive nenhum progresso...

espero q vc posso continuar me ajudando, pois ta feio o negoci aki...

falow...

Citação:

---

Postado originalmente por spectrum

Fio faz o seguinte
da o seguinte comando:

iptables -L

e posta ai o que aparecer!!!!
Spectrum

---

Seguinte, no iptables naum tem nada, apenas tem regras no nat, entaum dei um iptables -L -t nat, e eis o resultado:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 2000

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

---------------------------------------------------------------------

as únicas regras q to usando são:

echo 1 > /proc/sys/net/ipv4/ip_forward #SMTP para o squid
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000