Страница 1 из 2
переход с 25 на 587 порт
Добавлено: 2012-10-24 11:32:40
mynick
Добрый день.
Проблема в том что с моей локальной сети идет рассылка спама и соответственно я попадаю в спам листы. Поэтом принял решение перейти на 587 порт.
Почта поднята на базе postfix c виртуальными пользователями. Почтовик стоит в локальной сети
Когда на шлюзе (freebsd 9) в ipfw закрываю 25 порт то почта перестает приходить. Тогда я решил закрыть 25 порт в локальной сети и дать доступ к 25 порту только почтовому серверу. В ipfw сделал такую запись:
Код: Выделить всё
${fw} add 9 allow tcp from 192.168.10.109 25 to any out via ${int}
${fw} add 7 deny tcp from ${ln} to any 25 out via ${int}
Где
192.168.10.109 - внутрений айпи почтовика,
${ln} - локальная сеть 192.168.10.0/24
${int} - локальный интерфейс
На шлюзе когда пытаюсь подключиться к почтовику получаю следующие:
Код: Выделить всё
telnet 192.168.10.109 25
Trying 192.168.10.109...
telnet: connect to address 192.168.10.109: Permission denied
telnet: Unable to connect to remote host
Но на локальном компе своем я подключаюсь на ура.
Очень нужна Ваша помощь.
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 11:55:21
mak_v_
Красиво:
правлом 7 запрещаем хождение - "рубим сук на котором сидим"
а правилом 9 разрешаем? - "пытаемся его приклеить"?
циферки поменяйте местами и все у вас заработает
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 12:02:01
mynick
Нет к сожалению так и не заработало...еще варианты есть?...я уже бьюсь над этим столько времени и все никак не могу решить проблему
Идея было в том чтобы локальные компы все кроме почты не могли использовать 25 порт.
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 12:13:29
mak_v_
ну так приведите полный листинг ipfw show
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 12:16:36
mynick
Пожалуйста
ipfw show
00005 0 0 deny ip from table(1) to me dst-port 2010
00007 0 0 allow tcp from 192.168.10.109 25 to any out via rl1
00009 1 60 deny tcp from 192.168.10.0/24 to any dst-port 25 out via rl1
00020 0 0 deny ip from any to 127.0.0.0/8
00030 0 0 deny ip from 127.0.0.0/8 to any
00102 285 16063 allow tcp from any to 192.168.10.109 dst-port 443,80,143,587,110
00109 2136197 1822085689 divert 8668 ip from any to any via rl0
00209 4156568 3611793990 allow ip from any to any
65535 8 584 allow ip from any to any
rl0 - внешний интерфейс
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 12:58:01
skeletor
1) включить авторизацию при отправке почты.
2) разрешить серверу подключаться везде по 25-ому порту и запретить подключение из локалки
allow tcp from me to any 25
allow tcp from 192.168.10.0/24 to me 465
deny tcp from 192.168.10.0/24 to any 25,465
этого достаточно, что бы сервер-шлюз-почтовик нормально принимать\отправлять почту, а юзеры только подключаться по 465 порту. Если заработает, тогда уже добавляйте in\out\via, ибо мне кажется что проблема как раз именно в этом.
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 13:06:31
mynick
skeletor писал(а):1) включить авторизацию при отправке почты.
2) разрешить серверу подключаться везде по 25-ому порту и запретить подключение из локалки
allow tcp from me to any 25
allow tcp from 192.168.10.0/24 to me 465
deny tcp from 192.168.10.0/24 to any 25,465
этого достаточно, что бы сервер-шлюз-почтовик нормально принимать\отправлять почту, а юзеры только подключаться по 465 порту. Если заработает, тогда уже добавляйте in\out\via, ибо мне кажется что проблема как раз именно в этом.
Я так понял что 587 не очень ?
me - это шлюз ?
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 13:14:33
skeletor
me - это сервер на котором пишите правила. Лучше используйте стандартный 465 smtps.
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 13:26:46
mynick
не работает это правило
Код: Выделить всё
00005 0 0 deny ip from table(1) to me dst-port 1985
00020 0 0 deny ip from any to 127.0.0.0/8
00030 0 0 deny ip from 127.0.0.0/8 to any
00100 0 0 check-state
00102 233 15434 allow tcp from any to 192.168.10.0/24 dst-port 443,80,143,587,110
00200 21 840 allow tcp from me to any dst-port 25
00300 0 0 allow tcp from 192.168.10.0/24 to me dst-port 468
00400 1245 61392 deny tcp from 192.168.10.0/24 to any dst-port 25,468
00500 90351 66490867 divert 8668 ip from any to any via rl0
00600 177169 132790311 allow ip from any to any
65535 8 584 allow ip from any to any
почта от меня не уходит
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 13:32:27
skeletor
а вы подключаетесь к 465 порту?
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 13:36:33
mynick
skeletor писал(а):а вы подключаетесь к 465 порту?
да
Код: Выделить всё
telnet 192.168.10.109 468
Trying 192.168.10.109...
Connected to mydomain.
Escape character is '^]'.
Код: Выделить всё
netstat -na | grep LISTEN
tcp6 0 0 ::1.10024 *.* LISTEN
tcp4 0 0 127.0.0.1.10024 *.* LISTEN
tcp4 0 0 *.25 *.* LISTEN
tcp4 0 0 *.22 *.* LISTEN
tcp6 0 0 *.22 *.* LISTEN
tcp4 0 0 *.80 *.* LISTEN
tcp6 0 0 *.80 *.* LISTEN
tcp4 0 0 *.143 *.* LISTEN
tcp4 0 0 *.110 *.* LISTEN
tcp4 0 0 127.0.0.1.10025 *.* LISTEN
tcp4 0 0 *.468 *.* LISTEN
tcp4 0 0 *.3306 *.* LISTEN
tcp4 0 0 127.0.0.1.783 *.* LISTEN
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 13:53:25
skeletor
ну и? где правило не работает? Только неясно, почему порт 468, а не 465
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 13:59:36
mynick
я отправляю письмо от себя на укрнет оно не приходит и висит у меня в очереди
Код: Выделить всё
50D423CBF40 5840 Wed Oct 24 13:55:40 it@мойдомен
(connect to mxs.ukr.net[195.214.192.100]:25: Operation timed out)
amadey_85@ukr.net
С укрнета приходит
Код: Выделить всё
ipfw show
00005 0 0 deny ip from table(1) to me dst-port 2010
00020 0 0 deny ip from any to 127.0.0.0/8
00030 0 0 deny ip from 127.0.0.0/8 to any
00100 0 0 check-state
00102 0 0 allow tcp from any to 192.168.10.109 dst-port 443,80,143,587,110
00200 24 960 allow tcp from me to any dst-port 25
00300 0 0 allow tcp from 192.168.10.0/24 to me dst-port 465
00400 595 73263 deny tcp from 192.168.10.0/24 to any dst-port 25,465
00500 19455 6866381 divert 8668 ip from any to any via rl0
00600 38216 13689498 allow ip from any to any
65535 8 584 allow ip from any to any
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 14:05:41
skeletor
telnet на 195.214.192.100:25 с сервера не проходит?
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 14:07:22
mynick
skeletor писал(а):telnet на 195.214.192.100:25 с сервера не проходит?
Код: Выделить всё
telnet 195.214.192.100 25
Trying 195.214.192.100...
Connected to mxs.ukr.net.
Escape character is '^]'.
220 UKR.NET ESMTP Wed, 24 Oct 2012 14:07:06 +0300
со шлюза да а вот с почтавика нет
Код: Выделить всё
telnet 195.214.192.100 25
Trying 195.214.192.100...
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 14:24:19
skeletor
Ну так разрешите ещё доступ с почтовика. Я ж думал, что вы разрешите его автоматически.
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 14:26:27
mynick
skeletor писал(а):Ну так разрешите ещё доступ с почтовика. Я ж думал, что вы разрешите его автоматически.
типа такого ?
Код: Выделить всё
add allow tcp from 192.168.10.109 from any 25
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 14:45:02
skeletor
ну да, только вместо второго from -> to
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 14:47:44
mynick
skeletor писал(а):ну да, только вместо второго from -> to
Нет как-то по другому
Так не ходит почта
Код: Выделить всё
${fw} add allow tcp from me to any 25
${fw} add allow tcp from 192.168.10.0/24 to me 465
${fw} add allow all from 192.168.10.109 to any 25
${fw} add deny tcp from 192.168.10.0/24 to any 25,465
Код: Выделить всё
ipfw show
00005 0 0 deny ip from table(1) to me dst-port 1985
00020 0 0 deny ip from any to 127.0.0.0/8
00030 0 0 deny ip from 127.0.0.0/8 to any
00100 0 0 check-state
00102 0 0 allow tcp from any to 192.168.10.109 dst-port 443,80,143,587,110
00200 3 120 allow tcp from me to any dst-port 25
00300 0 0 allow tcp from 192.168.10.0/24 to me dst-port 465
00400 150 7992 allow ip from 192.168.10.109 to any dst-port 25
00500 924 44352 deny tcp from 192.168.10.0/24 to any dst-port 25,465
00600 318742 257016732 divert 8668 ip from any to any via rl0
00700 633298 513682274 allow ip from any to any
65535 8 584 allow ip from any to any
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 15:00:14
skeletor
Проверяйте telnet с почтовика.
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 15:00:45
mynick
skeletor писал(а):Проверяйте telnet с почтовика.
да проверяю не может подключиться
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 15:47:00
mynick
Вообщем как ни писал не получается сделать так чтобы почтовик мог подключаться к тому же укрнет по 25
Re: переход с 25 на 587 порт
Добавлено: 2012-10-24 23:35:08
mynick
Неужели никто не может помочь ?
Re: переход с 25 на 587 порт
Добавлено: 2012-10-25 14:17:30
skeletor
Достаточно 3(+/-1) правил, что бы решить вашу задачу:
1) разрешить доступ шлюзу везде на 25-ый порт
2) разрешить почтовику доступ везде на 25-ый порт
3) запретить всем в локалке доступ на 25-ый порт
У меня нет идей, почему и что вы делаете неправильно.
Re: переход с 25 на 587 порт
Добавлено: 2012-10-25 16:16:10
mynick
skeletor писал(а):Достаточно 3(+/-1) правил, что бы решить вашу задачу:
1) разрешить доступ шлюзу везде на 25-ый порт
2) разрешить почтовику доступ везде на 25-ый порт
3) запретить всем в локалке доступ на 25-ый порт
У меня нет идей, почему и что вы делаете неправильно.
Спасибо Вам что пытаетесь мне помочь.
Вот такие правила:
Код: Выделить всё
${fw} add allow tcp from me to any 25
${fw} add allow all from 192.168.10.109 to any 25
${fw} add deny tcp from 192.168.10.0/24 to any 25
192.168.10.109 - IP сервера почты
В этом случае от меня почта не уходит но приходит.То есть 25 блочиться и на почтавике....
Почему так ?