smtp bloqueado??!!

Não tô entendendo...

Tenho um gateway com o postfix/iptables. Vejam minhas regras:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Para liberar o envio de mensagens preciso liberar porta 25, certo?
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp --dport 25 -j ACCEPT

Não está funcionando, why?

Desde já agradeço qq. ajuda.
<IMG SRC="images/forum/icons/icon_frown.gif">

[Futuremax]

Vc tem que liberar tb para saida e redirecionamento:

iptables -A OUTPUT -s 192.168.0.0/255.255.255.0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp --dport 25 -j ACCEPT

E aconselho deixar a politica de OUTPUT como ACCEPT....

Futuremax,

Tb. liberei as chains forward e output e nada!! continua bloqueando.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 25 -j ACCEPT

Obrigado pela atenção,
[]s.

[mistymst]

Primeiro. Onde esta a maquina que faz o SMTP ? eh a mesma do firewall? ela esta mascarada ou nao? suas regras de firewalls estao simples demais... descreva melhor o problema. ah.. eh como o future max disse... o melhor eh por a output policy em ACCEPT.

[1c3m4n]

as regras estao simples mas sao soh elas q deveriam resolver o problema.... se isso num funcionou deve ser problema no relay!!!!
da uma olhada como ta o arquivo /etc/mail/access ele deve ter:

127.0.0.1 (tab) RELAY
192.168.1.(tab) RELAY

depois
cd /etc/mail
makemap hash access.db < access

e reinicia o sendmail

mistymst

O SMTP e o IPTABLES estão na mesma máquina. Estou montando está máquina para colocá-la como firewall e smtp server, Mandrake 9.0

1ª A intenção é bloquear a tudo e a todos, até aí blz.

2ª Pensei que o iptables já fizesse o mascaramento? tenho que carregar algum módulo para isso?

3ª Ok, vou deixar o output accept, mas porque? não daria uma brecha na segurança?

4ª O problema é que estava enviando e-mail normalmente tanto desta máquina gateway como de outra cliente da rede, depois de colocar as regras
para DROP não enviou mais, então tentei liberar como o Futuremax indicou mas não funcionou.

Desde já agradeço pela ajuda.
[]s.

[1c3m4n]

bom faz o seguinte:
iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -s IP_DO_SERVIDOR --sport 25 -d 0/0 -j ACCEPT

[mistymst]

1a.

Voce esta bloqueando tudo e a todos quando voce usa FORWARD/INPUT DROP

2o.

nao voce prescisa ajeitar as regras para que ele mascare a rede (minha memoria ta ruim mas eh algo do tipo) -s 10.1.1.0/24 -d 0/0 -j MASQUARADE
ou algo do tipo.

3o.

OUTPUT so se refere a maquina que voce esta trabalhando. no caso o firewall a nao ser que voce queira restringir o que vai sair do seu firewall. pois as regras funcionam assim.

INPUT - o que entra no firewall (ao proprio host)
FORWARD - o que passa pelo firewall (inclui - entrada/saida)
OUTPUT - o que sai no firewall (ao proprio host)

4o.

Poiseh temos que rever essas regras. temos que deixar entrar no firewall a porta 25.

iptables -A INPUT -s 0/0 --dport 25 -j ACCEPT

isso deve resolver


* Como ele disse que as coisas estavam funcionando legal sem as regras entao nao eh relay <IMG SRC="images/forum/icons/icon_smile.gif">

[mistymst]

Perdao quando eu me expressei mau falando que as regras estavam simples demais... o que eu queria dizer era que a situacao dele nao estava clara para mim <IMG SRC="images/forum/icons/icon_smile.gif">

bom a regra do iptables faltou o -p tcp

iptables -A INPUT -p tcp -s 0/0 --dport 25 -j ACCEPT

isso ira funcionar se voce manter a OUTPUT policy em ACCEPT, caso preferir manter elas em DROP, utilize as regras do ice <IMG SRC="images/forum/icons/icon21.gif">

<IMG SRC="images/forum/icons/icon21.gif"> <IMG SRC="images/forum/icons/icon21.gif">

[1c3m4n]

aaaaaaaaaa droga lembrei o qeh!!
qdo vc coloca o input como DROP depois q seu servidor manda a msg pela porta 25 ele tem q recever a resposta da maquina q ele enviou o email, e ele num manda essa resposta na porta 25.... por isso ta dando essa merda...

coloca ai

iptables -A INPUT -p udp -s 0/0 --dport 1023: -j ACCEPT
iptables -A INPUT -p tcp -m tcp -d IP_EXTERNO ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT

[Mr_Mind]

EM PRIMEIRO ABREM-SE E SO DEPOIS SE FECHAM!!!!!!!!

[Futuremax]

Hey 1c3, o que é essa porta 1023????
É nela que a conexão realmente acontece ou é apenas uma porta de resposta???
<IMG SRC="images/forum/icons/icon_frown.gif">

[Futuremax]

Hey 1c3, o que é essa porta 1023????
É nela que a conexão realmente acontece ou é apenas uma porta de resposta???
<IMG SRC="images/forum/icons/icon_frown.gif">

Obrigado a todos !!!

Já está funcionando. Funcionou das duas maneiras:

iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 --dport 25 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 25 -j ACCEPT

+ uma vez obrigado,

[]s.

[1c3m4n]

soh pra responder futuremax, a 1023 se vc reparar tem um : depois dela 1023:
quer dizer q vai de 1023 ateha a ultima porta (65535)