+ Responder ao Tópico



  1. 24-04-2007, 17:14 #1
    vioflas
    vioflas está desconectado
    Avatar de vioflas
    Ingresso
    Sep 2005
    Posts
    167

    Padrão iptables x exchange

    Olá pessoal está acontecendo um negócio estranho, to com o firewall certinho mas quando dropo a chain FORWARD meu servidor de e-mail exchange não recebe menssagens mas quando mudo a chain para ACCEPT as menssagens vem bonito. Já snifei com iptraf e parada bate na porta 25 mas não entrega o que pode ser, alguém pode me ajudar vo postar minhas regras.

    # Generated by iptables-save v1.2.11 on Mon Apr 16 11:15:13 2007
    2 *mangle
    3 :PREROUTING ACCEPT [187772:42546156]
    4 :INPUT ACCEPT [152580:30903337]
    5 :FORWARD ACCEPT [34927:11611267]
    6 :OUTPUT ACCEPT [168883:48995180]
    7 :POSTROUTING ACCEPT [194185:60141333]
    8 COMMIT
    19 -A INPUT -p tcp -m tcp --dport 1863 -j ACCEPT
    20 -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
    21 -A INPUT -p tcp -m tcp --dport 47 -j ACCEPT
    22 -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
    23 -A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
    24 -A INPUT -m state --state NEW -j ACCEPT
    25 -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
    26 -A INPUT -p tcp -m tcp --dport 563 -j ACCEPT
    27 -A INPUT -p tcp -m tcp --dport 8245 -j ACCEPT
    28 -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 2631 -j AC
    CEPT
    29 -A FORWARD -s 192.168.0.21 -d 200.201.174.207 -p udp -m udp --dport 137
    -j ACCEPT
    30 -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    31 -A FORWARD -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
    32 -A FORWARD -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
    33 -A FORWARD -o eth0 -p udp -m udp --dport 53 -j ACCEPT
    34 -A FORWARD -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
    35 -A FORWARD -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
    36 -A FORWARD -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
    37 -A FORWARD -s 192.168.0.0/255.255.255.0 -p icmp -j ACCEPT
    38 -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
    39 -A FORWARD -p tcp -m tcp --dport 47 -j ACCEPT
    40 -A FORWARD -p tcp -m tcp --dport 22 -j ACCEPT
    41 -A FORWARD -p tcp -m tcp --dport 23 -j ACCEPT
    42 -A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
    43 -A FORWARD -p tcp -m tcp --dport 563 -j ACCEPT
    44 -A FORWARD -p tcp -m tcp --dport 8245 -j ACCEPT
    45 -A FORWARD -s 192.168.0.21 -p tcp -m tcp --dport 80 -j ACCEPT
    46 -A FORWARD -p tcp -m tcp --dport 1182 -j ACCEPT
    47 -A FORWARD -p udp -m udp --dport 1182 -j ACCEPT
    48 -A FORWARD -p tcp -m tcp --dport 3007 -j ACCEPT
    49 -A FORWARD -p udp -m udp --dport 3007 -j ACCEPT
    50 -A FORWARD -p tcp -m tcp --dport 1191 -j ACCEPT
    51 -A FORWARD -p udp -m udp --dport 1191 -j ACCEPT
    52 -A FORWARD -p tcp -m tcp --dport 3456 -j ACCEPT
    53 -A FORWARD -p udp -m udp --dport 3456 -j ACCEPT
    54 -A FORWARD -p tcp -m tcp --dport 570 -j ACCEPT
    55 -A FORWARD -p tcp -m tcp --dport 5017 -j ACCEPT
    56 -A FORWARD -p tcp -m tcp --dport 10000 -j ACCEPT
    57 -A FORWARD -p tcp -m tcp --dport 1433 -j ACCEPT
    58 COMMIT
    59 # Completed on Mon Apr 16 11:15:13 2007
    60 # Generated by iptables-save v1.2.11 on Mon Apr 16 11:15:13 2007
    61 *nat
    62 :PREROUTING ACCEPT [21676:1428322]
    63 :POSTROUTING ACCEPT [4:188]
    64 :OUTPUT ACCEPT [666:40590]
    65 -A PREROUTING -d ! 200.201.174.207 -p tcp -m tcp --dport 80 -j REDIRECT
    --to-ports 3128
    66 -A PREROUTING -d 200.201.177.158 -p tcp -m tcp --dport 3389 -j DNAT --to
    -destination 192.168.0.2:3389
    67 -A PREROUTING -d 200.201.177.158 -p tcp -m tcp --dport 1723 -j DNAT --to
    -destination 192.168.0.2:1723
    68 -A PREROUTING -d 200.201.177.158 -p tcp -m tcp --dport 25 -j DNAT --to
    -destination 192.168.0.2:25
    70 -A POSTROUTING -o eth0 -j MASQUERADE
    71 COMMIT
    72 # Completed on Mon Apr 16 11:15:13 2007
    Citação Citação
  2. 24-04-2007, 18:13 #2
    spyderlinux
    spyderlinux está desconectado
    Avatar de spyderlinux
    Ingresso
    Apr 2004
    Posts
    712

    Padrão

    Costumo recomendar a todos para não bloquear o FORWARD. Esses problemas começam a aparecer.
    Tente verificar se tem a linha de ESTABLISHED, RELATED em suas conexões de forward, output e input ?

    Deixe a politica como DROP porém libere a conexão na porta 25 e 110 do seu email.
    Tanto ida quanto volta.

    Faça novos testes.
    Citação Citação
  3. 24-04-2007, 19:47 #3
    vioflas
    vioflas está desconectado
    Avatar de vioflas
    Ingresso
    Sep 2005
    Posts
    167

    Padrão

    Já existe sim a RELATED,ESTABLISHED as portas 25 já estão liberadas 110 é para pop 3 não tem servidor pop3 aqui, agora o interessante é que a menssagem sai mais não entra.
    Citação Citação
  4. 24-04-2007, 20:01 #4
    vioflas
    vioflas está desconectado
    Avatar de vioflas
    Ingresso
    Sep 2005
    Posts
    167

    Padrão

    Amigo acabei de resolver o problema coloquei a seguinte regra:
    -A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
    É claro que tem a regra de PREROUTING:
    -A PREROUTING -d xxx.yyy.xxx.yyy -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.51:25

    Veio que é uma beleza.
    Citação Citação
  5. 24-04-2007, 23:46 #5
    spyderlinux
    spyderlinux está desconectado
    Avatar de spyderlinux
    Ingresso
    Apr 2004
    Posts
    712

    Padrão

    Show de bola.
    Mesmo assim, continuo dizendo que manter forward DROP eh ruim, mas sabendo manter ele e tal pode dar certo para sua necessidade.

    Falow,
    Citação Citação



« Tópico Anterior | Próximo Tópico »