переход с 25 на 587 порт

[mynick]

Добрый день.
Проблема в том что с моей локальной сети идет рассылка спама и соответственно я попадаю в спам листы. Поэтом принял решение перейти на 587 порт.
Почта поднята на базе postfix c виртуальными пользователями. Почтовик стоит в локальной сети
Когда на шлюзе (freebsd 9) в ipfw закрываю 25 порт то почта перестает приходить. Тогда я решил закрыть 25 порт в локальной сети и дать доступ к 25 порту только почтовому серверу. В ipfw сделал такую запись:

Код: Выделить всё

 ${fw} add 9 allow tcp from 192.168.10.109 25 to any out via ${int}
 ${fw} add 7 deny tcp from ${ln} to any 25 out via ${int}

Где
192.168.10.109 - внутрений айпи почтовика,
${ln} - локальная сеть 192.168.10.0/24
${int} - локальный интерфейс
На шлюзе когда пытаюсь подключиться к почтовику получаю следующие:

Код: Выделить всё

telnet 192.168.10.109 25
Trying 192.168.10.109...
telnet: connect to address 192.168.10.109: Permission denied
telnet: Unable to connect to remote host

Но на локальном компе своем я подключаюсь на ура.
Очень нужна Ваша помощь.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

Красиво:
правлом 7 запрещаем хождение - "рубим сук на котором сидим"
а правилом 9 разрешаем? - "пытаемся его приклеить"?

циферки поменяйте местами и все у вас заработает

[mynick]

Нет к сожалению так и не заработало...еще варианты есть?...я уже бьюсь над этим столько времени и все никак не могу решить проблему
Идея было в том чтобы локальные компы все кроме почты не могли использовать 25 порт.

[mak_v_]

ну так приведите полный листинг ipfw show

[mynick]

Пожалуйста
ipfw show
00005 0 0 deny ip from table(1) to me dst-port 2010
00007 0 0 allow tcp from 192.168.10.109 25 to any out via rl1
00009 1 60 deny tcp from 192.168.10.0/24 to any dst-port 25 out via rl1
00020 0 0 deny ip from any to 127.0.0.0/8
00030 0 0 deny ip from 127.0.0.0/8 to any
00102 285 16063 allow tcp from any to 192.168.10.109 dst-port 443,80,143,587,110
00109 2136197 1822085689 divert 8668 ip from any to any via rl0
00209 4156568 3611793990 allow ip from any to any
65535 8 584 allow ip from any to any

rl0 - внешний интерфейс

[skeletor]

1) включить авторизацию при отправке почты.
2) разрешить серверу подключаться везде по 25-ому порту и запретить подключение из локалки
allow tcp from me to any 25
allow tcp from 192.168.10.0/24 to me 465
deny tcp from 192.168.10.0/24 to any 25,465
этого достаточно, что бы сервер-шлюз-почтовик нормально принимать\отправлять почту, а юзеры только подключаться по 465 порту. Если заработает, тогда уже добавляйте in\out\via, ибо мне кажется что проблема как раз именно в этом.

[mynick]

1) включить авторизацию при отправке почты.
2) разрешить серверу подключаться везде по 25-ому порту и запретить подключение из локалки
allow tcp from me to any 25
allow tcp from 192.168.10.0/24 to me 465
deny tcp from 192.168.10.0/24 to any 25,465
этого достаточно, что бы сервер-шлюз-почтовик нормально принимать\отправлять почту, а юзеры только подключаться по 465 порту. Если заработает, тогда уже добавляйте in\out\via, ибо мне кажется что проблема как раз именно в этом.

Я так понял что 587 не очень ?
me - это шлюз ?

[skeletor]

me - это сервер на котором пишите правила. Лучше используйте стандартный 465 smtps.

[mynick]

Код: Выделить всё

allow tcp from 192.168.10.0/24 to me 465

не работает это правило

Код: Выделить всё

00005      0         0 deny ip from table(1) to me dst-port 1985
00020      0         0 deny ip from any to 127.0.0.0/8
00030      0         0 deny ip from 127.0.0.0/8 to any
00100      0         0 check-state
00102    233     15434 allow tcp from any to 192.168.10.0/24 dst-port 443,80,143,587,110
00200     21       840 allow tcp from me to any dst-port 25
00300      0         0 allow tcp from 192.168.10.0/24 to me dst-port 468
00400   1245     61392 deny tcp from 192.168.10.0/24 to any dst-port 25,468
00500  90351  66490867 divert 8668 ip from any to any via rl0
00600 177169 132790311 allow ip from any to any
65535      8       584 allow ip from any to any

почта от меня не уходит

[skeletor]

а вы подключаетесь к 465 порту?

[mynick]

а вы подключаетесь к 465 порту?

да

Код: Выделить всё

telnet 192.168.10.109 468
Trying 192.168.10.109...
Connected to mydomain.
Escape character is '^]'.

Код: Выделить всё

 netstat -na | grep LISTEN
tcp6       0      0 ::1.10024              *.*                    LISTEN
tcp4       0      0 127.0.0.1.10024        *.*                    LISTEN
tcp4       0      0 *.25                   *.*                    LISTEN
tcp4       0      0 *.22                   *.*                    LISTEN
tcp6       0      0 *.22                   *.*                    LISTEN
tcp4       0      0 *.80                   *.*                    LISTEN
tcp6       0      0 *.80                   *.*                    LISTEN
tcp4       0      0 *.143                  *.*                    LISTEN
tcp4       0      0 *.110                  *.*                    LISTEN
tcp4       0      0 127.0.0.1.10025        *.*                    LISTEN
tcp4       0      0 *.468                  *.*                    LISTEN
tcp4       0      0 *.3306                 *.*                    LISTEN
tcp4       0      0 127.0.0.1.783          *.*                    LISTEN

[skeletor]

ну и? где правило не работает? Только неясно, почему порт 468, а не 465

[mynick]

я отправляю письмо от себя на укрнет оно не приходит и висит у меня в очереди

Код: Выделить всё

50D423CBF40     5840 Wed Oct 24 13:55:40  it@мойдомен
             (connect to mxs.ukr.net[195.214.192.100]:25: Operation timed out)
                                         amadey_85@ukr.net

С укрнета приходит

Код: Выделить всё

 ipfw show
00005     0        0 deny ip from table(1) to me dst-port 2010
00020     0        0 deny ip from any to 127.0.0.0/8
00030     0        0 deny ip from 127.0.0.0/8 to any
00100     0        0 check-state
00102     0        0 allow tcp from any to 192.168.10.109 dst-port 443,80,143,587,110
00200    24      960 allow tcp from me to any dst-port 25
00300     0        0 allow tcp from 192.168.10.0/24 to me dst-port 465
00400   595    73263 deny tcp from 192.168.10.0/24 to any dst-port 25,465
00500 19455  6866381 divert 8668 ip from any to any via rl0
00600 38216 13689498 allow ip from any to any
65535     8      584 allow ip from any to any

[skeletor]

telnet на 195.214.192.100:25 с сервера не проходит?

[mynick]

telnet на 195.214.192.100:25 с сервера не проходит?

Код: Выделить всё

telnet 195.214.192.100 25
Trying 195.214.192.100...
Connected to mxs.ukr.net.
Escape character is '^]'.
220 UKR.NET ESMTP Wed, 24 Oct 2012 14:07:06 +0300

со шлюза да а вот с почтавика нет

Код: Выделить всё

 telnet 195.214.192.100 25
Trying 195.214.192.100...

[skeletor]

Ну так разрешите ещё доступ с почтовика. Я ж думал, что вы разрешите его автоматически.

[mynick]

Ну так разрешите ещё доступ с почтовика. Я ж думал, что вы разрешите его автоматически.

типа такого ?

Код: Выделить всё

add allow tcp from 192.168.10.109 from any 25

[skeletor]

ну да, только вместо второго from -> to

[mynick]

ну да, только вместо второго from -> to

Нет как-то по другому
Так не ходит почта

Код: Выделить всё

${fw} add allow tcp from me to any 25
${fw} add allow tcp from 192.168.10.0/24 to me 465
${fw} add allow all from 192.168.10.109 to any 25
${fw} add deny tcp from 192.168.10.0/24 to any 25,465

Код: Выделить всё

ipfw show
00005      0         0 deny ip from table(1) to me dst-port 1985
00020      0         0 deny ip from any to 127.0.0.0/8
00030      0         0 deny ip from 127.0.0.0/8 to any
00100      0         0 check-state
00102      0         0 allow tcp from any to 192.168.10.109 dst-port 443,80,143,587,110
00200      3       120 allow tcp from me to any dst-port 25
00300      0         0 allow tcp from 192.168.10.0/24 to me dst-port 465
00400    150      7992 allow ip from 192.168.10.109 to any dst-port 25
00500    924     44352 deny tcp from 192.168.10.0/24 to any dst-port 25,465
00600 318742 257016732 divert 8668 ip from any to any via rl0
00700 633298 513682274 allow ip from any to any
65535      8       584 allow ip from any to any

[skeletor]

Проверяйте telnet с почтовика.

[mynick]

Проверяйте telnet с почтовика.

да проверяю не может подключиться

[mynick]

Вообщем как ни писал не получается сделать так чтобы почтовик мог подключаться к тому же укрнет по 25

[mynick]

Неужели никто не может помочь ?

[skeletor]

Достаточно 3(+/-1) правил, что бы решить вашу задачу:
1) разрешить доступ шлюзу везде на 25-ый порт
2) разрешить почтовику доступ везде на 25-ый порт
3) запретить всем в локалке доступ на 25-ый порт
У меня нет идей, почему и что вы делаете неправильно.

[mynick]

Достаточно 3(+/-1) правил, что бы решить вашу задачу:
1) разрешить доступ шлюзу везде на 25-ый порт
2) разрешить почтовику доступ везде на 25-ый порт
3) запретить всем в локалке доступ на 25-ый порт
У меня нет идей, почему и что вы делаете неправильно.

Спасибо Вам что пытаетесь мне помочь.
Вот такие правила:

Код: Выделить всё

${fw} add allow tcp from me to any 25
${fw} add allow all from 192.168.10.109 to any 25
${fw} add deny tcp from 192.168.10.0/24 to any 25

192.168.10.109 - IP сервера почты
В этом случае от меня почта не уходит но приходит.То есть 25 блочиться и на почтавике.... Почему так ?