переход с 25 на 587 порт

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mak_v_
проходил мимо

Re: переход с 25 на 587 порт

Непрочитанное сообщение mak_v_ » 2012-10-25 16:19:44

от меня почта не уходит
подозреваю что топикстартер вкладывает в слово "меня" - тачку стоящую за тазиком, тем самым причисляя её к элитным железякам...Покажите человеку как пользоваться списками....

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: переход с 25 на 587 порт

Непрочитанное сообщение skeletor » 2012-10-25 16:26:26

на почтовике тоже есть файервол? без правила

Код: Выделить всё

add deny tcp from 192.168.10.0/24 to any 25
всё работает?

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-26 11:41:27

mak_v_ писал(а):
от меня почта не уходит
подозреваю что топикстартер вкладывает в слово "меня" - тачку стоящую за тазиком, тем самым причисляя её к элитным железякам...Покажите человеку как пользоваться списками....
"От меня" - это с почтового сервера. О каких списках речь идет не пойму... :pardon:

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-26 11:48:02

skeletor писал(а):на почтовике тоже есть файервол? без правила

Код: Выделить всё

add deny tcp from 192.168.10.0/24 to any 25
всё работает?
Нет на почтовике фаервола. Фаервол исключительно на шлюзе (freebsd 9)
С таким правилом почта не уходит с почтового сервера и виснит в очереди по причине таймаута соединения с удаленным сервером. При попытки подключиться телнетом к почтовому серверу укрнета например по 25 говорит прости дорогой но таймаут соединения.

Код: Выделить всё

${fw} add  allow all from 192.168.10.109 to any 25
${fw} add deny tcp from 192.168.10.0/24 to any 25
По какой-то причине как я уже писал последнее правило перекрывает 1-е...:(

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-10-26 12:36:17

Опиши схему как у тебя подключен почтовый сервер к Инету и как к нему подключаются пользователи.
Покажи все правила на МСЭ.

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-26 12:56:26

Gloft писал(а):Опиши схему как у тебя подключен почтовый сервер к Инету и как к нему подключаются пользователи.
Покажи все правила на МСЭ.
Есть шлюз с двумя сетевыми картами соответственно 1 сетевая внешняя в ней торчит кабель от провайдера а вторая внутренняя второй конец которой воткнут в свитч.
Почтовый сервер находится в локальной сетке. Почтовик через шлюз выходит в интернет как и другие компьютеры локальной сети.
Пользователи подключаются к почтовому серверу по локальной сети.
Вот все правила которые касаются почты

Код: Выделить всё

00200     21       840 allow tcp from me to any dst-port 25
00300      0         0 allow tcp from 192.168.10.0/24 to me dst-port 468
00400   1245     61392 deny tcp from 192.168.10.0/24 to any dst-port 25

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-10-26 13:06:35

Покажи дополнительно правила ната и проброса 25 снаружи на почтовый сервак.
Обязательно именно в том порядке в котором они у тебя идут в МСЭ.

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-26 13:35:40

Gloft писал(а):Покажи дополнительно правила ната и проброса 25 снаружи на почтовый сервак.
Обязательно именно в том порядке в котором они у тебя идут в МСЭ.

Код: Выделить всё

 cat /etc/natd.conf
same_ports yes
use_sockets yes
log yes
redirect_port tcp 192.168.10.109:80 80
redirect_port tcp 192.168.10.109:110 110
redirect_port tcp 192.168.10.109:143 143
redirect_port tcp 192.168.10.109:465 465
redirect_port tcp 192.168.10.109:25 25
МЭС - MAIL SERVER ?

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-10-26 13:41:06

МСЭ - межсетевой экран, онже по буржуйски фаервол или брэнмуа.
Покажи правила относительно правила ната.

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-26 13:47:14

Gloft писал(а):МСЭ - межсетевой экран, онже по буржуйски фаервол или брэнмуа.
Покажи правила относительно правила ната.
Ясно :)

Код: Выделить всё

${nat} -s -m -u -a мой внешнийIP
${fw} add  divert natd ip from any to any via ${ext}

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-10-26 13:54:23

Ты меня не понял, я прошу тебя показать все правила МСЭ которые ты настраивал для почтового сервера относительно правила ната.
Или проще покажи ipfw show.

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-26 14:12:42

Gloft писал(а):Ты меня не понял, я прошу тебя показать все правила МСЭ которые ты настраивал для почтового сервера относительно правила ната.
Или проще покажи ipfw show.

Код: Выделить всё

ipfw show
00005        0           0 deny ip from table(1) to me dst-port 1985
00020        0           0 deny ip from any to 127.0.0.0/8
00030        0           0 deny ip from 127.0.0.0/8 to any
00100        0           0 check-state
00102        2         104 allow tcp from any to 192.168.10.109 dst-port 443,80,143,465,110
00200        0           0 allow tcp from me to any dst-port 25
00300        0           0 allow tcp from 192.168.10.0/24 to me dst-port 465
00400        0           0 allow tcp from 192.168.10.109 to any dst-port 25
00500        0           0 deny log logamount 100 tcp from 192.168.10.0/24 to any dst-port 25
00600    31594    15141547 divert 8668 ip from any to any via rl0
65535 67130299 44045783847 allow ip from any to any

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-10-26 14:31:25

Правило "allow ip from any to any" как я понимаю временное решение?
После правила ната добавь правило

Код: Выделить всё

allow tcp from any to 10.6.115.109 25 out via ${inIF} keep-state
На нем должны будут срабатывать правила идущие из инета к почтовому серверу.

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-26 14:45:21

Gloft писал(а):Правило "allow ip from any to any" как я понимаю временное решение?
После правила ната добавь правило

Код: Выделить всё

allow tcp from any to 10.6.115.109 25 out via ${inIF} keep-state
На нем должны будут срабатывать правила идущие из инета к почтовому серверу.
Так почта с инета приходит а вот уйти никак не хочет.

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-10-26 14:53:31

Правило

Код: Выделить всё

allow tcp from me to any dst-port 25
предполагает что почтовый сервер находится на самом шлюзе в инет (на МСЭ).
Поменяй его на

Код: Выделить всё

allow tcp from 10.6.115.109 to any dst-port 25 out via ${outIF} keep-state

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-10-26 14:56:00

Ты показал все правила или только те которые по твоему мнению касаются почтового сервера?
Почитай http://www.lissyara.su/articles/freebsd ... /ipfw_nat/ или оригинал http://nuclight.livejournal.com/124348.html.

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-26 15:17:36

Gloft писал(а):Ты показал все правила или только те которые по твоему мнению касаются почтового сервера?
Почитай http://www.lissyara.su/articles/freebsd ... /ipfw_nat/ или оригинал http://nuclight.livejournal.com/124348.html.
Нет это все правила к сожалению. Просто я тут работаю недавно и это все что мне осталось в наследство.Правил почти не было.
Сейчас попробую изменить правило.
Спасибо что помогаешь!

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-10-26 15:24:09

Тогда почитай сначала статьи на сайте лисяры http://lissyara.su/ о работе ipfw и о его настройке.
В частности в ссылке которую я привел в предыдущем посте есть описания различных конфигураций МСЭ.

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-28 23:56:26

Gloft писал(а):Правило

Код: Выделить всё

allow tcp from me to any dst-port 25
предполагает что почтовый сервер находится на самом шлюзе в инет (на МСЭ).
Поменяй его на

Код: Выделить всё

allow tcp from 192.168.10.109 to any dst-port 25 out via ${outIF} keep-state

Код: Выделить всё

ipfw show
00005         0            0 deny ip from table(1) to me dst-port 1985
00020         0            0 deny ip from any to 127.0.0.0/8
00030         0            0 deny ip from 127.0.0.0/8 to any
00100         0            0 check-state
00102        51         3732 allow tcp from any to 10.6.115.109 dst-port 443,80,143,587,110
00200         0            0 allow tcp from 10.6.115.109 to any dst-port 25 out via rl0 keep-state
00300        10          552 deny log logamount 100 tcp from 10.6.115.0/24 to any dst-port 25
00400      1235       185906 divert 8668 ip from any to any via rl0
65535 381268880 323946762486 allow ip from any to any
Поменял я правило но опять-таки правило 300 полность закрывает 200
Вот с почтового сервера

Код: Выделить всё

 telnet 195.214.192.100 25
Trying 195.214.192.100...
telnet: connect to address 195.214.192.100: Operation timed out
telnet: Unable to connect to remote host
Вот в очереди postfix

Код: Выделить всё

86FFB3CCBD2     3428 Sun Oct 28 22:43:45  admin@mydomain
             (connect to mxs.ukr.net[195.214.192.100]:25: Operation timed out)
                                         yaaa@ukr.net

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-10-29 7:23:01

Код: Выделить всё

allow tcp from 10.6.115.109 to any dst-port 25 out via rl0 keep-state
200-е правило для исходящего трафика на rl0
добавь после 200-го такое же, но на входящий и на внутреннем интерфейсе.

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-10-31 18:06:56

Gloft писал(а):

Код: Выделить всё

allow tcp from 10.6.115.109 to any dst-port 25 out via rl0 keep-state
200-е правило для исходящего трафика на rl0
добавь после 200-го такое же, но на входящий и на внутреннем интерфейсе.
то есть такое ?

Код: Выделить всё

allow tcp from any to 10.6.115.109  25 in via rl1 keep-state

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-11-01 11:01:29

Вот как бы я написал правила для почтового сервера для твоей схемы:

Код: Выделить всё

# разрешаем исходящие соединения для почтового сервера на внутреннем интерфейсе
allow tcp from ipMailServer to any 25 in via inIF keep-state

# разрешаем входящие соединения к почтовому серверу на внутреннем интерфейсе
allow tcp from any to ipMailServer 25 out via inIF keep-state
....
....
# натим весь трафик на внешнем интерфейсе
divert 8668 ip from any to any via outIF
....
....
# разрешаем исходящие соединения для почтового сервера на внешнем интерфейсе
allow tcp from outIF to any 25 out via outIF keep-state

# разрешаем входящие соединения к почтовому серверу на внешнем интерфейсе
allow tcp from any to ipMailServer 25 in via outIF keep-state
....
....
deny all from any to any

mynick
рядовой
Сообщения: 25
Зарегистрирован: 2012-10-24 11:19:39

Re: переход с 25 на 587 порт

Непрочитанное сообщение mynick » 2012-11-01 13:01:16

Gloft писал(а):Вот как бы я написал правила для почтового сервера для твоей схемы:

Код: Выделить всё

# разрешаем исходящие соединения для почтового сервера на внутреннем интерфейсе
allow tcp from ipMailServer to any 25 in via inIF keep-state

# разрешаем входящие соединения к почтовому серверу на внутреннем интерфейсе
allow tcp from any to ipMailServer 25 out via inIF keep-state
....
....
# натим весь трафик на внешнем интерфейсе
divert 8668 ip from any to any via outIF
....
....
# разрешаем исходящие соединения для почтового сервера на внешнем интерфейсе
allow tcp from outIF to any 25 out via outIF keep-state

# разрешаем входящие соединения к почтовому серверу на внешнем интерфейсе
allow tcp from any to ipMailServer 25 in via outIF keep-state
....
....
deny all from any to any
Большое спасибо ! попробую и отпишусь

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: переход с 25 на 587 порт

Непрочитанное сообщение Gloft » 2012-11-01 15:41:14

Забыл о правиле:

Код: Выделить всё

add check-state
поставь его после

Код: Выделить всё

-f flush

ASY
мл. сержант
Сообщения: 130
Зарегистрирован: 2011-02-21 12:50:03

Re: переход с 25 на 587 порт

Непрочитанное сообщение ASY » 2012-11-02 17:19:57

mynick писал(а):Проблема в том что с моей локальной сети идет рассылка спама и соответственно я попадаю в спам листы. Поэтом принял решение перейти на 587 порт.
Замечательно. То есть, через 587 спам сразу идти перестанет. Нет, наверное, перестанет... Как и нормальная почта.