ipfw + почта

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
AnteC
проходил мимо

ipfw + почта

Непрочитанное сообщение AnteC » 2007-11-13 11:12:24

На шлюзе стоит IPFW+Squid+Samba.
Подскажите как правильнее открыть порты для получения/отправки почты (25 и 110). Сейчас так:

Код: Выделить всё

00100 allow ip from any to any via lo
00200 divert 8668 ip from any to any
00300 allow ip from me to any out
00400 allow udp from any to any dst-port 53
00410 allow udp from any 53 to me
00500 allow ip from any 80 to me
00600 allow ip from 192.168.100.0/24 to me
00610 allow ip from me to 192.168.100.0/24
00700 allow tcp from any to any dst-port 25,110,443,995,5999
00710 allow tcp from any 25,110,443,995,5999 to any
65535 deny ip from any to any
Почему-то после перезагрузки шлюза почта не ходит, а начинает ходить только после добавления правила

Код: Выделить всё

ipfw add 800 allow ip from any to any
причем если его сразу же удалить (ipfw delete 800) почта все-равно ходит.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hammer68
мл. сержант
Сообщения: 107
Зарегистрирован: 2007-10-25 16:52:17
Откуда: tambov это в России
Контактная информация:

Re: ipfw + почта

Непрочитанное сообщение hammer68 » 2007-11-13 12:02:00

дай

Код: Выделить всё

ipfw show 
и посмотри через какие правила у тя идут пакеты

AnteC
проходил мимо

Re: ipfw + почта

Непрочитанное сообщение AnteC » 2007-11-13 13:37:11

Код: Выделить всё

Proxy# ipfw show
00100      0        0 allow ip from any to any via lo
00200 121415 41040899 divert 8668 ip from any to any
00300  57942 15891812 allow ip from me to any out
00400    593    35556 allow udp from any to any dst-port 53
00410  11444  1234657 allow udp from any 53 to me
00500  17662 17864151 allow ip from any 80 to me
00600  28439  4440861 allow ip from 192.168.100.0/24 to me
00610      0        0 allow ip from me to 192.168.100.0/24
00700    164     9273 allow tcp from any to any dst-port 25,110,443,995,5999
00710   2863  1236858 allow tcp from any 25,110,443,995,5999 to any
00790      0        0 fwd 192.168.100.254,3389 ip from 81.24.137.113 3389 to me dst-port 3389
00800      0        0 allow ip from 81.24.137.113 to any
00810      0        0 allow ip from any to 81.24.137.113
65535   6535   720022 deny ip from any to any

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ipfw + почта

Непрочитанное сообщение dikens3 » 2007-11-13 14:12:35

Для начала натить нужно не всё, а только нужное (Входящее из инета и исходящее в инет)
divert 8668 ip from any to any via ВНЕШНИЙ_ИНТЕФЕЙС
Далее включить лог для прибиваемых пакетов:
deny log ip from any to any
И наконец главное.
Считаем что ты хочешь предоставить возможность пользователям твоей сети предоставить доступ к почте (25 и 110 порт и DNS для работы)
Нужные правила выглядят примерно так:

Код: Выделить всё

allow tcp from СЕТЬ to ИНЕТ 25,110
alow udp from СЕТЬ to DNS1,DNS2 53
NAT
allow from СЕРВЕР to ИНЕТ
allow from ИНЕТ 25,110 to СЕТЬ established
allow from DNS1,DNS2 53 to СЕТЬ
ИНЕТ можешь заменить на any а СЕТЬ на 192.168.x.x
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

AnteC
проходил мимо

Re: ipfw + почта

Непрочитанное сообщение AnteC » 2007-11-14 9:17:38

В логах увидел это:
Deny UDP 213.142.192.50:53 192.168.100.254:1032
Сделал так:

Код: Выделить всё

allow ip from any 53 to any dst-port 1032
Зы в локалке стоит W2K3 Server с поднятым DNS сервером. Может быть кто-нибудь подскажет зачем понадобился 1032 порт?

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: ipfw + почта

Непрочитанное сообщение -cat- » 2007-11-14 9:23:41

А если увидишь порты 1033, 1035, 1036, 1037 и т.д. будешь по отдельности все открывать?
Проблема очевидно простая клиент не может разрешить в ДНС имя сервера, сюда и копай.

AnteC
проходил мимо

Re: ipfw + почта

Непрочитанное сообщение AnteC » 2007-11-14 9:28:26

Сори что не сказал - проблема после разрешения 1032 порта исчезла - те все заработало.
Однако хотелось бы знать нафиг внешние DNS сервера коннектятся к моему на порт 1032.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: ipfw + почта

Непрочитанное сообщение -cat- » 2007-11-14 9:33:40

AnteC писал(а):Сори что не сказал - проблема после разрешения 1032 порта исчезла - те все заработало.
Однако хотелось бы знать нафиг внешние DNS сервера коннектятся к моему на порт 1032.
Абсолютная случайность, через полчаса будешь ломать голову почему не работает, ДНС сереверы никуда не коннектяться. Вообще не мешает почитать литературу на предмет как работают сетевые протоколы и что такое порты.

AnteC
проходил мимо

Re: ipfw + почта

Непрочитанное сообщение AnteC » 2007-11-14 9:49:38

Слив защитан)))

Увидел свою опечатку:
00410 allow udp from any 53 to me