+ Responder ao Tópico



  1. #1
    jvdebian
    Visitante

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    Ae galera, o negocio e o seguinte, eu acabei de configurar um Squid e estou fazendo o proxy transparente pra galera nao burlar meu squid. para isso, setei a Politica da Chain FORWARD para DROP e adicionei a regra para aceitar conexoes na porta 3128, na porta 25 (SMTP) e 110 (Pop3), o proxy esta rodando, porem o cliente de e-mail nao esta conectando.

    Eu dei uma olhada com o Ethereal e qdo o cliente envia o [SYN], ele fica esperando e nao recebe a resposta [SYN,ACK]. acho que tenho que configurar a regra pra aceitar conexoes desses servidores mas nao estou conseguindo pensar em uma regra.

    Sera q alguem tem alguma ideia pra me ajudar!!!! CHeers guys!!!

  2. #2

    Padrão Re: Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funciona

    # Compartilha a conexão
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

  3. #3
    jvdebian
    Visitante

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    eu ja compartilhet na tab NAT, mas esse echo, pra que serve esse comando??? eu vou fazer!! e te dou a resposta em um segundo!!

  4. #4
    jvdebian
    Visitante

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    o problema e que se eu seto a politica da chain FORWARD pra ACCEPT, o proxy transparente nao funciona e o browser acessa a net sem a configuracao de proxy on!!!!! :roll:

  5. #5

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    cole seu script aqui, fica mais facil te ajudar.

  6. #6
    whinston
    Visitante

    Padrão tudo via squid ?

    pelo que eu entendi o nosso colega quer fz o squid serviro pop3 e smtp e não apenas as convencionais 80, 21 e 443. não é isto ?

  7. #7
    Visitante

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    Nao, na verdade eu quero deixar o squid trabalhar somente nas portas padroes mesmo (www,ftp,ghoper) ok!!! vai ser suficiente pra controlar a rede!!! o negocio e o seguinte:

    * qdo eu setei o squid, eu segui um TUTO pra configurar como transparente e e ninguem burlar meu proxy retirando a configuracao ( eu ja fiz isso tb!! mas nao quero ver ninguem fazer no meu proxy!! rsrsrs!!).

    * mas entao mesmo de pois de adicionar a regra na tab nat pra redirecionar todo o trafego da chain FORWARD na port 80 pra 3128, nao sei pq, eu ainda conseguia acesso sem configurar o proxy no browser (ou seja, sem proxy, so com NAT)

    * entao pra tentar resolver, eu setei a chain FORWARD pra policy DROP e adicionei as regras, mas qdo eu faco.....

    ---> #iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 23 -j ACCEPT
    ---> #iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 110 -j ACCEPT

    isso nao funciona, qdo o cliente envia o [SYN], ele nao recebe o [SYN,ACK] do server e o pacote da time out!!! eu sniffei so a maquina cliente e nenhum pacote chegou de fora da rede entao provavelmente esta ficando barrado no firewall!!!!

    de qualquer jeito, deem uma analisada e qualquer opiniao sera bem recebida e bem testada tb!!!

    PS: nao da pra postar pq o squid.conf ta na empresa e eu nao configurei acesso externo!!! acho que deveria fazer isso pra facilitar nessas horas!!! obrigado pessoal!!!

  8. #8
    jvdebian
    Visitante

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    Foi mal, eu nao tava logado galera!!!

    ahhh e a porta na primeira regra iptables e 25 e nao 23 foi mal pelo erro!!! t+, amanha cedinho eu posto o script aqui!!

  9. #9

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    coloca a regra de masquerade e faz proxy transparente,resolve seu problema, a nao ser que vc use autenticação...

  10. #10
    jvdebian
    Visitante

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    Ae pessoal vou colar minha configuracao aqui!!!

    Rotas da tabela nat.

    Debian1:~# iptables -t nat -L

    Chain PREROUTING (policy ACCEPT)
    target prot opt source destination
    REDIRECT tcp -- 10.0.0.0/24 anywhere tcp dpt:www redir ports 3128

    Chain POSTROUTING (policy ACCEPT)
    target prot opt source destination
    MASQUERADE all -- 10.0.0.0/24 anywhere

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    Debian1:~#

    # Chains Padroes

    Debian1:~# iptables -L

    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    ACCEPT all -- 10.0.0.0/24 anywhere

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    ACCEPT tcp -- 10.0.0.0/24 anywhere tcp dpt:3128
    ACCEPT tcp -- 10.0.0.0/24 anywhere tcp dptop3
    ACCEPT tcp -- 10.0.0.0/24 anywhere tcp dpt:smtp

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    Debian1:~#


    # Squid.conf

    Debian1:~# cat /etc/squid.conf
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    acl internal_net src 10.0.0.0/24

    acl blockedsites dstdomain -i "/etc/squid/block/block.txt"
    acl unblockedsites dstdomain -i "/etc/squid/block/unblock.txt"

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on

    http_access allow internal_net
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access deny blockedsites !unblockedsites
    http_access deny all
    icp_access allow all
    Debian1:~#

  11. #11
    jvdebian
    Visitante

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    ohh galera, da um toque ai!!! o proxy transparente nao ta funfando!!!

  12. #12

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    https://under-linux.org/noticia4730.html

    fui que publiquei, qualquer duvida, entra em contato...

  13. #13
    jvdebian
    Visitante

    Padrão Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

    Valu Breno, eu acho que usei aquele artigo do Squid Ninja pra configurar, So me fala uma coisa, como estavao as politicas das suas chains, tudo DROP?