smtp x firewall, helpme...

Pessoal, negocio meio urgente aki, espero q alguem possa me ajudar...

Apliquei as regras de iptables no servidor pra funcionar o proxy transparente, pop e smtp nos clientes... depois de muito trabalho, funcionou tudo menos o smtp.

http ta normal, com proxy transparente. Recebo emails nos clientes de email usando pop. Mas naum consigo enviar emails com o smtp no cliente de email.

Alguma ideia do q pode ser?

As regras q to usando são:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000

Estou fazendo os testes pelas config do yahoo, mas outros smtps tb naum funcionam:

pop.mail.yahoo.com.br 110
smtp.mail.yahoo.com.br 25

Aki vai o resultado de um iptables -L -t nat:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 2000

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Tanto pela makina cliente quanto pelo servidor eu consigo dar ping para o endereço de smtp normalmente.

A distribuição do servidor é Mandrake 10.0.

No agurado de um help... falow...

vc tentando enviar e o firewall ta barrando? os clientes sao rede interna? ja tento disativar o firewall e usar o smtp? qual servidor de smtp vc ta usando?

Citação:

---

Postado originalmente por Brenno

vc tentando enviar e o firewall ta barrando? os clientes sao rede interna? ja tento disativar o firewall e usar o smtp? qual servidor de smtp vc ta usando?

---

entao, nao sei se é o firewall q esta barrando, mas acredito q sim... ja desativei o firewall do mandrake e ja baixei o nivel de verificação no minimo, na opcao pobre... mesmo assim nada...

num proxy rodando numa makina windows funciona normalmente...

o smtp q estou usando é o smtp.mail.yahoo.com.br e smtp.sercomtel.com.br...

sim, as makinas clientes sao todas de uma rede interna conectadas ao servidor... na makina cliente tem como gateway o ip do servidor inclusive... tanto q até funciona proxy transparente e pop, normalmente.... só mesmo o smtp q naum...

tenta desativar o firewall, se vc conseguir manda com o firewall desativado, ai vc posta ae q eu te do a regra pra libera, mas mesmo com firewall desativado e vc tenta enviar e n o smtp n enviar, entao o problema é o servidor smtp..

Citação:

---

Postado originalmente por Brenno

tenta desativar o firewall, se vc conseguir manda com o firewall desativado, ai vc posta ae q eu te do a regra pra libera, mas mesmo com firewall desativado e vc tenta enviar e n o smtp n enviar, entao o problema é o servidor smtp..

---

cara, mesmo com firewalll desativado naum vai mesmo... dae naum sei se o problema é com o servidor smtp, pois ja tentei com:

smtp.mail.yahoo.com.br
smtp.sercomtel.com.br
smtp.terra.com.br

e nenhum funciona...

se vc puder fazer algo mais por mim, agradeço desde já... falow...

bom, já sabemos que o problema não eh o firewall, vamos agora pro servidor smtp. nessa parte eu não entedir direito.


vc tem um maquina que tem um servidor smtp instalado?
ou vc ta usando smtp de fora?

se tiver um servidor de smtp instalado fala qual nome dele (postfix sendmail etc)


depois de saber isso, da um tail -50 /var/log/mail.log
e cola aqui pra agente pode ver qual erro..

t+

Ja vi este erro acontecer antes e foi resolvido com uma regra que libera o acesso das maquinas para resolver os nomes (DNS)

Tente criar uma regra que o faça.. pode ser que resolva

Citação:

---

Postado originalmente por Brenno

bom, já sabemos que o problema não eh o firewall, vamos agora pro servidor smtp. nessa parte eu não entedir direito.


vc tem um maquina que tem um servidor smtp instalado?
ou vc ta usando smtp de fora?

se tiver um servidor de smtp instalado fala qual nome dele (postfix sendmail etc)


depois de saber isso, da um tail -50 /var/log/mail.log
e cola aqui pra agente pode ver qual erro..

t+

---

naõ, eu não tenho um servidor de smtp... estou tentando usar um de fora mesmo, mais ou menos assim:

|estação com cliente de email|----|servidor linux|----|internet/smtp|

por exemplo, quero usar um smtp do yahoo (smtp.mail.yahoo.com.br) ou da sercomtel (smtp.sercomtel.com.br)

em uma makina windows conectada diretamente na internet essas config no cliente de email funcionam normalmente, assim como o pop tb...

Citação:

---

Postado originalmente por DevLocKe

Ja vi este erro acontecer antes e foi resolvido com uma regra que libera o acesso das maquinas para resolver os nomes (DNS)

Tente criar uma regra que o faça.. pode ser que resolva

---

olá DevLocKe, e será q vc poderia me ajudar a fazer essas regras? não tenho muita experiencia ainda com isso...

valew....

faca o seguinte...
no seu firewall digite o seguinte comando

# tcpdump host ip_de_alguma_maquina_da_rede

va na maquina q vc colocou o ip acima e abra um cmd e digite o seguinte
> telnet smtp.sao.terra.com.br 25

deve aparecer isso
220 paramonga.terra.com.br ESMTP

caso contrario nao apareca essa mensagem volte ao servidor e verifique o trafego
provavelmente oque esta acontecendo eh q suas regras estao restringindo a resposta do servidor smtp, caso vc ache conveniente poste seus script de firewall aqui, caso vc nao tenha um, poste aqui.

Citação:

---

Postado originalmente por Anonymous

faca o seguinte...
no seu firewall digite o seguinte comando

# tcpdump host ip_de_alguma_maquina_da_rede

va na maquina q vc colocou o ip acima e abra um cmd e digite o seguinte
> telnet smtp.sao.terra.com.br 25

deve aparecer isso
220 paramonga.terra.com.br ESMTP

caso contrario nao apareca essa mensagem volte ao servidor e verifique o trafego
provavelmente oque esta acontecendo eh q suas regras estao restringindo a resposta do servidor smtp, caso vc ache conveniente poste seus script de firewall aqui, caso vc nao tenha um, poste aqui.

---

ok, vou fazer esses testes...

mas pra adiantar, eu naum tenho script de firewall, a menos q esteja em algum local q eu desconheça... porem, as unicas regras q estou usando até o momento são:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000

acredito que vc esteja utilizando uma distro redhat-like nesse caso existem regras de firewall pre-definidas

basicamente vc pode usar essas regras digite esses comandos em sequencia

# touch /root/setfw
# joe /root/setfw
(ou o editor que vc preferir)

copie o script abaixo eh cole dentro do arquivo
----- INICIO DE setfw -----
#!/bin/bash

inicia() {
echo Iniciando Firewall
iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i eth1 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -p tcp --dport 135 -j DROPED
iptables -A FORWARD -p udp -m multiport --dports 137,138 -j DROPED
iptables -A FORWARD -p tcp --dport 139 -j DROPED
iptables -A FORWARD -p tcp --dport 445 -j DROPED
iptables -A FORWARD -p udp --dport 445 -j DROPED
iptables -A FORWARD -p udp --dport 500 -j DROPED
iptables -A FORWARD -p tcp --dport 1039 -j DROPED
iptables -A FORWARD -p udp --dport 1050 -j DROPED
iptables -A FORWARD -p udp --dport 1065 -j DROPED
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
}

para() {
echo Parando Firewall *ATENCAO TODO TIPO DE ACESSO SERA LIBERADO*
iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
}

sossh() {
echo Habilitando acesso somente ao SSH *ATENCAO O FIREWALL FICARA ISOLADO*
iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat
iptables -t nat -P PREROUTING DROP
iptables -t nat -A PREROUTING -i lo -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -t nat -P POSTROUTING DROP
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -t nat -P OUTPUT DROP
iptables -t nat -A OUTPUT -o lo -j ACCEPT
iptables -t nat -A OUTPUT -o eth0 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -t nat -A OUTPUT -o eth1 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -d 0/0 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 22 -d 0/0 -j ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
}

limpa() {
echo Limpando contadores
iptables -Z
iptables -Z -t nat
}

case $1 in

start)
inicia
;;
stop)
para
;;
denyall)
sossh
;;
reset)
limpa
;;
*)
echo "Uso: $0 (start|stop|denyall|reset)"
;;
esac
----- FIM DE setfw -----

# chmod +x /root/setfw

esse script eh bem basico, teste ele e poste aqui o resultado.

# /root/setfw start

cara, subistui onde esta DROPED por DROP

Citação:

---

Postado originalmente por Anonymous

acredito que vc esteja utilizando uma distro redhat-like nesse caso existem regras de firewall pre-definidas

---

estou usando mandrake 10.0

Se não me fale eu posso ajudar
[email protected]

Jair Parreiras

Citação:

---

Postado originalmente por notreve

Pessoal, negocio meio urgente aki, espero q alguem possa me ajudar...

Apliquei as regras de iptables no servidor pra funcionar o proxy transparente, pop e smtp nos clientes... depois de muito trabalho, funcionou tudo menos o smtp.

http ta normal, com proxy transparente. Recebo emails nos clientes de email usando pop. Mas naum consigo enviar emails com o smtp no cliente de email.

Alguma ideia do q pode ser?

As regras q to usando são:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000

Estou fazendo os testes pelas config do yahoo, mas outros smtps tb naum funcionam:

pop.mail.yahoo.com.br 110
smtp.mail.yahoo.com.br 25

Aki vai o resultado de um iptables -L -t nat:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 2000

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Tanto pela makina cliente quanto pelo servidor eu consigo dar ping para o endereço de smtp normalmente.

A distribuição do servidor é Mandrake 10.0.

No agurado de um help... falow...

---

os smtp externos normalmente EXIGEM autenticação pop-antes-de-smtp ou similar. Alguns simplesmente rejeitam ´relay´. No /var/log/messages deve aparecer o que acontece (normalmente ´reject´).

examine assim:

# tail -f /var/log/messages

divirta-se :twisted:

Fio faz o seguinte
da o seguinte comando:

iptables -L

e posta ai o que aparecer!!!!
Spectrum

Citação:

---

Postado originalmente por notreve

Pessoal, negocio meio urgente aki, espero q alguem possa me ajudar...

Apliquei as regras de iptables no servidor pra funcionar o proxy transparente, pop e smtp nos clientes... depois de muito trabalho, funcionou tudo menos o smtp.

http ta normal, com proxy transparente. Recebo emails nos clientes de email usando pop. Mas naum consigo enviar emails com o smtp no cliente de email.

Alguma ideia do q pode ser?

As regras q to usando são:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000

Estou fazendo os testes pelas config do yahoo, mas outros smtps tb naum funcionam:

pop.mail.yahoo.com.br 110
smtp.mail.yahoo.com.br 25

Aki vai o resultado de um iptables -L -t nat:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 2000

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Tanto pela makina cliente quanto pelo servidor eu consigo dar ping para o endereço de smtp normalmente.

A distribuição do servidor é Mandrake 10.0.

No agurado de um help... falow...

---

Citação:

---

Postado originalmente por Anonymous

# /root/setfw start

---

aew, cara naum resolveu naum hein... eu vou mexer mais um pouco pra ver, mas naum tive nenhum progresso...

espero q vc posso continuar me ajudando, pois ta feio o negoci aki...

falow...

Citação:

---

Postado originalmente por spectrum

Fio faz o seguinte
da o seguinte comando:

iptables -L

e posta ai o que aparecer!!!!
Spectrum

---

Seguinte, no iptables naum tem nada, apenas tem regras no nat, entaum dei um iptables -L -t nat, e eis o resultado:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 2000

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

---------------------------------------------------------------------

as únicas regras q to usando são:

echo 1 > /proc/sys/net/ipv4/ip_forward #SMTP para o squid
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 2000

Citação:

---

Postado originalmente por irado

os smtp externos normalmente EXIGEM autenticação pop-antes-de-smtp ou similar. Alguns simplesmente rejeitam ´relay´. No /var/log/messages deve aparecer o que acontece (normalmente ´reject´).

examine assim:

# tail -f /var/log/messages

divirta-se :twisted:

---

olá irado... cara, naum entendi o lance da autenticação, vc pode me dar umas dicas de como funciona isso então?

esse comando q vc passou, como pode ser útil pra mim?

notreve...

vc disse no início estar usando proxy transparente, como tá rolando teu squid.conf cara? liberou as portas 25 e 110 lá? tenta apenas aplicar as regras de proxy transparente (sem nenhuma outra regra pra bloqueio)

Citação:

---

Postado originalmente por Jim

notreve...

vc disse no início estar usando proxy transparente, como tá rolando teu squid.conf cara? liberou as portas 25 e 110 lá? tenta apenas aplicar as regras de proxy transparente (sem nenhuma outra regra pra bloqueio)

---

isso mesmo, to usando proxy transparente, e tá rodando tranquilo o http das estações...

quanto ao squid.conf não tenho certeza, mas é nele mesmo que libero as portas? não encontrei nada assim nele, se vc puder me orientar sobre isso agradeço... se naum me engano no /etc/services tem algumas coisa sobre portas, mas não se resolveria alguma coisa mexer nele...

no aguardo... :)

Você tem que colocar lá nas Safe_ports

acl Safe_ports port 25
acl Safe_ports port 110

Citação:

---

Postado originalmente por Jim

notreve...

vc disse no início estar usando proxy transparente, como tá rolando teu squid.conf cara? liberou as portas 25 e 110 lá? tenta apenas aplicar as regras de proxy transparente (sem nenhuma outra regra pra bloqueio)

---

olha só... mexendo no /etc/services achei as seguintes linhas:

smtp 25/tcp mail
smtp 25/ucp mail

será tem alguma coisa aki q poderia resolver meu problemas? lembrando q o pop ta funcionando bem, ok? é só smtp mesmo q ta com pau...

desculpe, udp ao inves de 25/ucp

Não amigo, isso nao tem nada a ver...

Citação:

---

Postado originalmente por Jim

Você tem que colocar lá nas Safe_ports

acl Safe_ports port 25
acl Safe_ports port 110

---

cara, era isso mesmo... só tava faltando colocar essas portas ae no squid.conf, agora vai beleza...

poxa, nem acredito, ja tava quase formatando e instalando tudo de novo... aiai...

pessoal, muito obrigado aí a todos que colaboraram...

mais uma questaozinha, só aproveitando o topico:

algum de vcs usa thunderbird?

hum, to com um probleminha aki... pra enviar emails do yahoo no outlook tinha um lance de autenticação do servidor, mas no thunderbird naum tem nada assim... parece...

finalmente consegui fazer o servidor liberar o smtp... dae o outlook envia de boa, mas o thunderbird naum...

alguem tem ideia de alguma coisa q pode ta errada nele?

que bom que resolveu seu problema...

fico devendo pq nunca usei o thunderbird (só pra brincar de comandos em ação :D)

nao entendi esse lance do squid, aqui meu squid.conf nao define porta 25 nas safeports so tem a porta 80
mesmo pq a regra de masq dele esta para
source: 0/0 dest: 0/0 prot tcp dport 80 -> redir 2000
como tava passando pelo squid a requisicao para porta 25 se o squid so tava ouvindo a 80?!
me explica aeeee

Citação:

---

Postado originalmente por Anonymous

nao entendi esse lance do squid, aqui meu squid.conf nao define porta 25 nas safeports so tem a porta 80
mesmo pq a regra de masq dele esta para
source: 0/0 dest: 0/0 prot tcp dport 80 -> redir 2000
como tava passando pelo squid a requisicao para porta 25 se o squid so tava ouvindo a 80?!
me explica aeeee

---

vc quer dizer que mesmo não colocando esas acls q ele falou tava funcionando normal o seu, é?

no meu só funcionou a partir do momento q adicionei as acls...

eh, posta seu squid.conf ai

Citação:

---

Postado originalmente por Anonymous

eh, posta seu squid.conf ai

---

cara, o arquivo é muito grande... entra em contato comigo por email [email protected] q eu mando pra vc depois...

dexa pra la vai........