- iptables x exchange
+ Responder ao Tópico
-
iptables x exchange
Olá pessoal está acontecendo um negócio estranho, to com o firewall certinho mas quando dropo a chain FORWARD meu servidor de e-mail exchange não recebe menssagens mas quando mudo a chain para ACCEPT as menssagens vem bonito. Já snifei com iptraf e parada bate na porta 25 mas não entrega o que pode ser, alguém pode me ajudar vo postar minhas regras.
# Generated by iptables-save v1.2.11 on Mon Apr 16 11:15:13 2007
2 *mangle
3 :PREROUTING ACCEPT [187772:42546156]
4 :INPUT ACCEPT [152580:30903337]
5 :FORWARD ACCEPT [34927:11611267]
6 :OUTPUT ACCEPT [168883:48995180]
7 :POSTROUTING ACCEPT [194185:60141333]
8 COMMIT
19 -A INPUT -p tcp -m tcp --dport 1863 -j ACCEPT
20 -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
21 -A INPUT -p tcp -m tcp --dport 47 -j ACCEPT
22 -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
23 -A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
24 -A INPUT -m state --state NEW -j ACCEPT
25 -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
26 -A INPUT -p tcp -m tcp --dport 563 -j ACCEPT
27 -A INPUT -p tcp -m tcp --dport 8245 -j ACCEPT
28 -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 2631 -j AC
CEPT
29 -A FORWARD -s 192.168.0.21 -d 200.201.174.207 -p udp -m udp --dport 137
-j ACCEPT
30 -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
31 -A FORWARD -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
32 -A FORWARD -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
33 -A FORWARD -o eth0 -p udp -m udp --dport 53 -j ACCEPT
34 -A FORWARD -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
35 -A FORWARD -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
36 -A FORWARD -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
37 -A FORWARD -s 192.168.0.0/255.255.255.0 -p icmp -j ACCEPT
38 -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
39 -A FORWARD -p tcp -m tcp --dport 47 -j ACCEPT
40 -A FORWARD -p tcp -m tcp --dport 22 -j ACCEPT
41 -A FORWARD -p tcp -m tcp --dport 23 -j ACCEPT
42 -A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
43 -A FORWARD -p tcp -m tcp --dport 563 -j ACCEPT
44 -A FORWARD -p tcp -m tcp --dport 8245 -j ACCEPT
45 -A FORWARD -s 192.168.0.21 -p tcp -m tcp --dport 80 -j ACCEPT
46 -A FORWARD -p tcp -m tcp --dport 1182 -j ACCEPT
47 -A FORWARD -p udp -m udp --dport 1182 -j ACCEPT
48 -A FORWARD -p tcp -m tcp --dport 3007 -j ACCEPT
49 -A FORWARD -p udp -m udp --dport 3007 -j ACCEPT
50 -A FORWARD -p tcp -m tcp --dport 1191 -j ACCEPT
51 -A FORWARD -p udp -m udp --dport 1191 -j ACCEPT
52 -A FORWARD -p tcp -m tcp --dport 3456 -j ACCEPT
53 -A FORWARD -p udp -m udp --dport 3456 -j ACCEPT
54 -A FORWARD -p tcp -m tcp --dport 570 -j ACCEPT
55 -A FORWARD -p tcp -m tcp --dport 5017 -j ACCEPT
56 -A FORWARD -p tcp -m tcp --dport 10000 -j ACCEPT
57 -A FORWARD -p tcp -m tcp --dport 1433 -j ACCEPT
58 COMMIT
59 # Completed on Mon Apr 16 11:15:13 2007
60 # Generated by iptables-save v1.2.11 on Mon Apr 16 11:15:13 2007
61 *nat
62 :PREROUTING ACCEPT [21676:1428322]
63 :POSTROUTING ACCEPT [4:188]
64 :OUTPUT ACCEPT [666:40590]
65 -A PREROUTING -d ! 200.201.174.207 -p tcp -m tcp --dport 80 -j REDIRECT
--to-ports 3128
66 -A PREROUTING -d 200.201.177.158 -p tcp -m tcp --dport 3389 -j DNAT --to
-destination 192.168.0.2:3389
67 -A PREROUTING -d 200.201.177.158 -p tcp -m tcp --dport 1723 -j DNAT --to
-destination 192.168.0.2:1723
68 -A PREROUTING -d 200.201.177.158 -p tcp -m tcp --dport 25 -j DNAT --to
-destination 192.168.0.2:25
70 -A POSTROUTING -o eth0 -j MASQUERADE
71 COMMIT
72 # Completed on Mon Apr 16 11:15:13 2007
-
Costumo recomendar a todos para não bloquear o FORWARD. Esses problemas começam a aparecer.
Tente verificar se tem a linha de ESTABLISHED, RELATED em suas conexões de forward, output e input ?
Deixe a politica como DROP porém libere a conexão na porta 25 e 110 do seu email.
Tanto ida quanto volta.
Faça novos testes.
-
Já existe sim a RELATED,ESTABLISHED as portas 25 já estão liberadas 110 é para pop 3 não tem servidor pop3 aqui, agora o interessante é que a menssagem sai mais não entra.
-
Amigo acabei de resolver o problema coloquei a seguinte regra:
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
É claro que tem a regra de PREROUTING:
-A PREROUTING -d xxx.yyy.xxx.yyy -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.51:25
Veio que é uma beleza.
-
Show de bola.
Mesmo assim, continuo dizendo que manter forward DROP eh ruim, mas sabendo manter ele e tal pode dar certo para sua necessidade.
Falow,