Redirecionamento Para Exchange

**vioflas** · 30-11-2006, 12:59

Olá pessoal, dentro do ambiente que dou suporte, tenho firewall e proxy em linux, e servidor de e-mail em Exchange até ontem eu estava sem tempo de configurar corretamente meu firewall e ele estava de um jeito que eu costumo dizer "firewall perna aberta", resolvi ajeitar, estudei aqui no forum postei, tirei dúvidas o pessoal me ajudou foi ótimo, testei em casa, agora porcausa de um pentelhinho de nada de configuração, não ficou 100% a menssagem só chega quando na chain FORWARD eu seto como ACCEPT quando seto DROP não entra e-mail e ainda tive que fazer uma regra DNAT, essa:
DNAT all -- anywhere 192.168.66.101 to:192.168.0.2
e abrir chain FORWARD pra entrar.
obs: o e-mail sai com a chain setada como DROP.

A dúvida:
Será que o e-mail entra por uma porta alta? Qual porta devo liberar em FORWARD para setar a chain padrão para DROP?

Meu Firewall está assim:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 127.0.0.0/8 127.0.0.0/8
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:3128
ACCEPT tcp -- anywhere anywhere tcp dpt:telnet

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:https
ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:smtp
ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:telnet

**xstefanox** · 30-11-2006, 16:00

Olha, meu conselho é que você faça o procedimento de enviar/receber e-mail sniffando a rede no gateway, para saber ao certo o quê ele faz e o quê você tem que liberar. Utilize o iptraf para isso que pode te dar uma ajuda.

Abraços!

**vioflas** · 30-11-2006, 16:09

prezado amigo Xstefanox eu fiz isso mas eu não consegui enxergar nehuma atividade relativa a isso ou eu não soube usar. Vc teria como me passar mais alguma dica com iptraf ou algum outro modo?

wrochal · 01-12-2006, 00:42

Caro,

Para receber/enviar emails basta você liberar o DNS e SMTP, no firewall.

Abraços,

**vioflas** · 01-12-2006, 11:11

Perfeito, concordo plenamente contigo mas o que eu não to conseguindo com sucesso é setar a chain FORWARD em DROP e liberar só que eu quero.

por exemplo tenho servidor exchange microsoft, e ele também é servidor web IIS as menssagens saem mas não entra.

Eu tenho 2 DNATS

Todo mundo que quiser acessar o site da empresa bate nessa regra

1º PREROUTING -d if_wan -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80

Todo mundo que mandar e-mail pra mim vai mandar para o meu exchange

1º PREROUTING -d if_wan -p tcp --dport 25 -j DNAT --to-destination 192.168.0.2:25

com a política FORWARD em DROP não entra e-mail e nem dá pra entrar no site da empresa de fora eu gostaria de saber se preciso liberar outras portas em FORWARD para esses serviços funionarem.

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:https
ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:smtp
ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:telnet

**xstefanox** · 01-12-2006, 11:14

Fora isso, já pensou em utilizar - -j LOG do iptables? Pode ser útil também...

**vioflas** · 01-12-2006, 11:25

Boa amigo, essa é uma ótima idéia eu sou iniciante nessa parada to implementando na marra num tá afetando a empresa porque se der pau eu seto pra ACCEPT e vo testando até ficar legal, mas você poderia me passar a syntaxe dessa regra e onde eu acesso o arquivo de LOG.

Obrigado

wrochal · 01-12-2006, 11:38

Caro,

Tenho vários clientes usando Firewall em Linux e Exchange, normalmente eu uso este script

Código :

#!/bin/bash
# Firewall desenvolvido por William da Rocha Lima
# qualquer dúvida envie e-mail para [email protected]
# Sobre a Licença GPL
# Data: 22/02/2006
 
 
# Programas
IPT=/sbin/iptables
MODP=/sbin/modprobe
 
# Configuracao Rede
IFWAN=eth0
IFLAN=eth1
IPWAN=200.X.123.X
LAN=192.168.5.0/24
IFINT=192.168.5.0/24
ANY=0/0
 
# Servidor de Terminal Service
SERVER=192.168.5.43
 
# IPS Liberados para NET
IPS_ALLOW="192.168.5.1 192.168.5.2 192.168.5.43 192.168.5.56 192.168.5.196 192.168.5.63"
 
# Portas LIBERADAS (INPUT TCP/UDP)
INPUT_TCP="53 22 80 9022 20 21 3456 3389 3390 1723"
INPUT_UDP="53 67 80"
 
# PORTAS LIBERADAS (FORWARD)
FORWARD_TCP="20 22 21 25 47 53 80 110 143 1723 1863 3422 3456 3389 3390 3391 3392 3393 443 9022 9023 5800 5900"
FORWARD_UDP="20 22 21 25 47 53 80 110 143 1723 1863 3456"
 
# MODULOS A CARREGAR
for module in ip_tables ipt_REDIRECT ipt_MASQUERADE ipt_MARK ipt_REJECT \
        ipt_TOS ipt_LOG iptable_mangle iptable_filter iptable_nat ip_nat_ftp \
        ip_conntrack ip_conntrack_ftp ip_conntrack_irc \
        ip_nat_irc ipt_mac ipt_state ipt_mark; do
        $MODP $module
done
 
# ATIVANDO MASCARAMENTO NO KERNEL
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# Protecao de ICMP e Spoofing
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
 
# Inicio das Regras
echo -n "Iniciando o Firewall   "
 
# Limpando as Regras
echo -n "Limpando as Regras	" 
$IPT -F
$IPT -Z
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t nat -Z
echo -n "Ativando Compartilhamento	"
# Compartilhamento
$IPT -t nat -A POSTROUTING -s 192.168.5.0/24 -d $ANY -p ALL -o $IFWAN -j MASQUERADE
 
echo -n "Configurando Chain INPUT"
# LoopBack Livre
$IPT -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
$IPT -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
$IPT -A INPUT -i $IFLAN -m state --state NEW -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# INPUT LIBERADAS
for servico in $INPUT_TCP; do
  $IPT -A INPUT -p tcp --dport $servico -j ACCEPT
done
 
for servico in $INPUT_UDP; do
  $IPT -A INPUT -p udp --dport $servico -j ACCEPT
done
 
echo -n "Configurando Chain FORWARD"
# Estacao para Internet
for FORWARD in $FORWARD_TCP; do
  $IPT -A FORWARD -p tcp --dport $FORWARD -j ACCEPT
done
 
for FORWARD in $FORWARD_UDP; do
  $IPT -A FORWARD -p udp --dport $FORWARD -j ACCEPT
done
 
# Liberando Suporte
for ALLOW_FORWARDS in $IPS_ALLOW; do
$IPT -A FORWARD -s $ALLOW_FORWARDS -j ACCEPT
done
 
# Bloqueando o Resto
 
echo -n "Configurando Prioridades de Pacotes"
 
# Priorizando os Liberados
 
for OUTPUT in $IPS_ALLOW; do
  $IPT -t mangle -A OUTPUT -s $OUTPUT -o $IFWAN -p tcp --dport 0:65535 -j TOS --set-tos 16
  $IPT -t mangle -A OUTPUT -s $OUTPUT -o $IFWAN -p udp --dport 0:65535 -j TOS --set-tos 16
done
 
# Prioridade ALTA RDP
$IPT -t mangle -A OUTPUT -o $IFWAN -p tcp --dport 3389:3390 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -i $IFLAN -p tcp --sport 3389:3390 -j TOS --set-tos 0x10
 
# Entrada
$IPT -t mangle -A PREROUTING -i $IFLAN -p udp --sport 0:65535 -j TOS --set-tos 0x00
$IPT -t mangle -A PREROUTING -i $IFLAN -p tcp --sport 0:65535 -j TOS --set-tos 0x00
 
# SAIDA
$IPT -t mangle -A OUTPUT -o $IFWAN -p tcp --dport 10:65535 -j TOS --set-tos 0x00
$IPT -t mangle -A OUTPUT -o $IFWAN -p udp --dport 10:65535 -j TOS --set-tos 0x00
 
 
echo -n "Configurando Redirecionamento de Portas"
# Redirecionamento do Proxy
$IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 80 -j REDIRECT --to-port 3128
 
# Servidor RDP
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 3389 -j DNAT --to-destination 192.168.5.43
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 9009 -j DNAT --to-destination 192.168.5.196
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 21 -j DNAT --to-destination 192.168.5.1:21
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 20 -j DNAT --to-destination 192.168.5.1:20
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 80 -j DNAT --to-destination 192.168.5.2
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 80 -j DNAT --to-destination 192.168.5.1
 
echo -n "Ativando Segurança"
 
# Bloqueando PINGS, Spoofings
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j DROP
$IPT -A FORWARD -p icmp --icmp-type time-exceeded -j DROP
 
# Fechando o RESTO
$IPT -A INPUT -i $IFWAN -j DROP
$IPT -A FORWARD -s $LAN -j DROP
 
echo "                  [  OK  ]"

**xstefanox** · 01-12-2006, 11:46

Olha, aqui tem um bom guia sobre iptables em geral (Que é o Focalinux). Aqui tá o link direto para o alvo LOG

Guia Foca GNU/Linux - Firewall iptables

É até legal você aprender isso aí e dar uma lida, porque o seu firewall vai ficando grande e você com certeza vai trombar com essa situação de novo na vida, só que como o seu firewall já vai estar maior, logo vai ser um pouco mais difícil de diagnosticar o problema.

Um abraço!

**vioflas** · 01-12-2006, 12:26

eu testei seu script muito bom, só uma pergunta nesse script vc não seta a chain padrão FORWARD para DROP né? fecha tudo no final é isso?

wrochal · 01-12-2006, 14:51

Então no meu caso prefiro fazer assim, o bom do iptables que vc faz da forma que quiser...

abs,

**vioflas** · 01-12-2006, 15:41

Valeu então amigão abraço, suas informações foram muito importantes. Vo ver lá a melhor forma.

Redirecionamento Para Exchange

Ferramentas de Tópicos

Redirecionamento Para Exchange