переход с 25 на 587 порт

[mak_v_]

от меня почта не уходит

подозреваю что топикстартер вкладывает в слово "меня" - тачку стоящую за тазиком, тем самым причисляя её к элитным железякам...Покажите человеку как пользоваться списками....

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[skeletor]

на почтовике тоже есть файервол? без правила

Код: Выделить всё

add deny tcp from 192.168.10.0/24 to any 25

всё работает?

[mynick]

от меня почта не уходит

подозреваю что топикстартер вкладывает в слово "меня" - тачку стоящую за тазиком, тем самым причисляя её к элитным железякам...Покажите человеку как пользоваться списками....

"От меня" - это с почтового сервера. О каких списках речь идет не пойму...

[mynick]

на почтовике тоже есть файервол? без правила

Код: Выделить всё

add deny tcp from 192.168.10.0/24 to any 25

всё работает?

Нет на почтовике фаервола. Фаервол исключительно на шлюзе (freebsd 9)
С таким правилом почта не уходит с почтового сервера и виснит в очереди по причине таймаута соединения с удаленным сервером. При попытки подключиться телнетом к почтовому серверу укрнета например по 25 говорит прости дорогой но таймаут соединения.

Код: Выделить всё

${fw} add  allow all from 192.168.10.109 to any 25
${fw} add deny tcp from 192.168.10.0/24 to any 25

По какой-то причине как я уже писал последнее правило перекрывает 1-е...

[Gloft]

Опиши схему как у тебя подключен почтовый сервер к Инету и как к нему подключаются пользователи.
Покажи все правила на МСЭ.

[mynick]

Опиши схему как у тебя подключен почтовый сервер к Инету и как к нему подключаются пользователи.
Покажи все правила на МСЭ.

Есть шлюз с двумя сетевыми картами соответственно 1 сетевая внешняя в ней торчит кабель от провайдера а вторая внутренняя второй конец которой воткнут в свитч.
Почтовый сервер находится в локальной сетке. Почтовик через шлюз выходит в интернет как и другие компьютеры локальной сети.
Пользователи подключаются к почтовому серверу по локальной сети.
Вот все правила которые касаются почты

Код: Выделить всё

00200     21       840 allow tcp from me to any dst-port 25
00300      0         0 allow tcp from 192.168.10.0/24 to me dst-port 468
00400   1245     61392 deny tcp from 192.168.10.0/24 to any dst-port 25

[Gloft]

Покажи дополнительно правила ната и проброса 25 снаружи на почтовый сервак.
Обязательно именно в том порядке в котором они у тебя идут в МСЭ.

[mynick]

Покажи дополнительно правила ната и проброса 25 снаружи на почтовый сервак.
Обязательно именно в том порядке в котором они у тебя идут в МСЭ.

Код: Выделить всё

 cat /etc/natd.conf
same_ports yes
use_sockets yes
log yes
redirect_port tcp 192.168.10.109:80 80
redirect_port tcp 192.168.10.109:110 110
redirect_port tcp 192.168.10.109:143 143
redirect_port tcp 192.168.10.109:465 465
redirect_port tcp 192.168.10.109:25 25

МЭС - MAIL SERVER ?

[Gloft]

МСЭ - межсетевой экран, онже по буржуйски фаервол или брэнмуа.
Покажи правила относительно правила ната.

[mynick]

МСЭ - межсетевой экран, онже по буржуйски фаервол или брэнмуа.
Покажи правила относительно правила ната.

Ясно

Код: Выделить всё

${nat} -s -m -u -a мой внешнийIP
${fw} add  divert natd ip from any to any via ${ext}

[Gloft]

Ты меня не понял, я прошу тебя показать все правила МСЭ которые ты настраивал для почтового сервера относительно правила ната.
Или проще покажи ipfw show.

[mynick]

Ты меня не понял, я прошу тебя показать все правила МСЭ которые ты настраивал для почтового сервера относительно правила ната.
Или проще покажи ipfw show.

Код: Выделить всё

ipfw show
00005        0           0 deny ip from table(1) to me dst-port 1985
00020        0           0 deny ip from any to 127.0.0.0/8
00030        0           0 deny ip from 127.0.0.0/8 to any
00100        0           0 check-state
00102        2         104 allow tcp from any to 192.168.10.109 dst-port 443,80,143,465,110
00200        0           0 allow tcp from me to any dst-port 25
00300        0           0 allow tcp from 192.168.10.0/24 to me dst-port 465
00400        0           0 allow tcp from 192.168.10.109 to any dst-port 25
00500        0           0 deny log logamount 100 tcp from 192.168.10.0/24 to any dst-port 25
00600    31594    15141547 divert 8668 ip from any to any via rl0
65535 67130299 44045783847 allow ip from any to any

[Gloft]

Правило "allow ip from any to any" как я понимаю временное решение?
После правила ната добавь правило

Код: Выделить всё

allow tcp from any to 10.6.115.109 25 out via ${inIF} keep-state

На нем должны будут срабатывать правила идущие из инета к почтовому серверу.

[mynick]

Правило "allow ip from any to any" как я понимаю временное решение?
После правила ната добавь правило

Код: Выделить всё

allow tcp from any to 10.6.115.109 25 out via ${inIF} keep-state

На нем должны будут срабатывать правила идущие из инета к почтовому серверу.

Так почта с инета приходит а вот уйти никак не хочет.

[Gloft]

Правило

Код: Выделить всё

allow tcp from me to any dst-port 25

предполагает что почтовый сервер находится на самом шлюзе в инет (на МСЭ).
Поменяй его на

Код: Выделить всё

allow tcp from 10.6.115.109 to any dst-port 25 out via ${outIF} keep-state

[Gloft]

Ты показал все правила или только те которые по твоему мнению касаются почтового сервера?
Почитай http://www.lissyara.su/articles/freebsd ... /ipfw_nat/ или оригинал http://nuclight.livejournal.com/124348.html.

[mynick]

Ты показал все правила или только те которые по твоему мнению касаются почтового сервера?
Почитай http://www.lissyara.su/articles/freebsd ... /ipfw_nat/ или оригинал http://nuclight.livejournal.com/124348.html.

Нет это все правила к сожалению. Просто я тут работаю недавно и это все что мне осталось в наследство.Правил почти не было.
Сейчас попробую изменить правило.
Спасибо что помогаешь!

[Gloft]

Тогда почитай сначала статьи на сайте лисяры http://lissyara.su/ о работе ipfw и о его настройке.
В частности в ссылке которую я привел в предыдущем посте есть описания различных конфигураций МСЭ.

[mynick]

Правило

Код: Выделить всё

allow tcp from me to any dst-port 25

предполагает что почтовый сервер находится на самом шлюзе в инет (на МСЭ).
Поменяй его на

Код: Выделить всё

allow tcp from 192.168.10.109 to any dst-port 25 out via ${outIF} keep-state

Код: Выделить всё

ipfw show
00005         0            0 deny ip from table(1) to me dst-port 1985
00020         0            0 deny ip from any to 127.0.0.0/8
00030         0            0 deny ip from 127.0.0.0/8 to any
00100         0            0 check-state
00102        51         3732 allow tcp from any to 10.6.115.109 dst-port 443,80,143,587,110
00200         0            0 allow tcp from 10.6.115.109 to any dst-port 25 out via rl0 keep-state
00300        10          552 deny log logamount 100 tcp from 10.6.115.0/24 to any dst-port 25
00400      1235       185906 divert 8668 ip from any to any via rl0
65535 381268880 323946762486 allow ip from any to any

Поменял я правило но опять-таки правило 300 полность закрывает 200
Вот с почтового сервера

Код: Выделить всё

 telnet 195.214.192.100 25
Trying 195.214.192.100...
telnet: connect to address 195.214.192.100: Operation timed out
telnet: Unable to connect to remote host

Вот в очереди postfix

Код: Выделить всё

86FFB3CCBD2     3428 Sun Oct 28 22:43:45  admin@mydomain
             (connect to mxs.ukr.net[195.214.192.100]:25: Operation timed out)
                                         yaaa@ukr.net

[Gloft]

Код: Выделить всё

allow tcp from 10.6.115.109 to any dst-port 25 out via rl0 keep-state

200-е правило для исходящего трафика на rl0
добавь после 200-го такое же, но на входящий и на внутреннем интерфейсе.

[mynick]

Код: Выделить всё

allow tcp from 10.6.115.109 to any dst-port 25 out via rl0 keep-state

200-е правило для исходящего трафика на rl0
добавь после 200-го такое же, но на входящий и на внутреннем интерфейсе.

то есть такое ?

Код: Выделить всё

allow tcp from any to 10.6.115.109  25 in via rl1 keep-state

[Gloft]

Вот как бы я написал правила для почтового сервера для твоей схемы:

Код: Выделить всё

# разрешаем исходящие соединения для почтового сервера на внутреннем интерфейсе
allow tcp from ipMailServer to any 25 in via inIF keep-state

# разрешаем входящие соединения к почтовому серверу на внутреннем интерфейсе
allow tcp from any to ipMailServer 25 out via inIF keep-state
....
....
# натим весь трафик на внешнем интерфейсе
divert 8668 ip from any to any via outIF
....
....
# разрешаем исходящие соединения для почтового сервера на внешнем интерфейсе
allow tcp from outIF to any 25 out via outIF keep-state

# разрешаем входящие соединения к почтовому серверу на внешнем интерфейсе
allow tcp from any to ipMailServer 25 in via outIF keep-state
....
....
deny all from any to any

[mynick]

Вот как бы я написал правила для почтового сервера для твоей схемы:

Код: Выделить всё

# разрешаем исходящие соединения для почтового сервера на внутреннем интерфейсе
allow tcp from ipMailServer to any 25 in via inIF keep-state

# разрешаем входящие соединения к почтовому серверу на внутреннем интерфейсе
allow tcp from any to ipMailServer 25 out via inIF keep-state
....
....
# натим весь трафик на внешнем интерфейсе
divert 8668 ip from any to any via outIF
....
....
# разрешаем исходящие соединения для почтового сервера на внешнем интерфейсе
allow tcp from outIF to any 25 out via outIF keep-state

# разрешаем входящие соединения к почтовому серверу на внешнем интерфейсе
allow tcp from any to ipMailServer 25 in via outIF keep-state
....
....
deny all from any to any

Большое спасибо ! попробую и отпишусь

[Gloft]

Забыл о правиле:

Код: Выделить всё

add check-state

поставь его после

Код: Выделить всё

-f flush

[ASY]

Проблема в том что с моей локальной сети идет рассылка спама и соответственно я попадаю в спам листы. Поэтом принял решение перейти на 587 порт.

Замечательно. То есть, через 587 спам сразу идти перестанет. Нет, наверное, перестанет... Как и нормальная почта.