Страница 1 из 1
ipfw + почта
Добавлено: 2007-11-13 11:12:24
AnteC
На шлюзе стоит IPFW+Squid+Samba.
Подскажите как правильнее открыть порты для получения/отправки почты (25 и 110). Сейчас так:
Код: Выделить всё
00100 allow ip from any to any via lo
00200 divert 8668 ip from any to any
00300 allow ip from me to any out
00400 allow udp from any to any dst-port 53
00410 allow udp from any 53 to me
00500 allow ip from any 80 to me
00600 allow ip from 192.168.100.0/24 to me
00610 allow ip from me to 192.168.100.0/24
00700 allow tcp from any to any dst-port 25,110,443,995,5999
00710 allow tcp from any 25,110,443,995,5999 to any
65535 deny ip from any to any
Почему-то после перезагрузки шлюза почта не ходит, а начинает ходить только после добавления правила
причем если его сразу же удалить (ipfw delete 800) почта все-равно ходит.
Re: ipfw + почта
Добавлено: 2007-11-13 12:02:00
hammer68
дай
и посмотри через какие правила у тя идут пакеты
Re: ipfw + почта
Добавлено: 2007-11-13 13:37:11
AnteC
Код: Выделить всё
Proxy# ipfw show
00100 0 0 allow ip from any to any via lo
00200 121415 41040899 divert 8668 ip from any to any
00300 57942 15891812 allow ip from me to any out
00400 593 35556 allow udp from any to any dst-port 53
00410 11444 1234657 allow udp from any 53 to me
00500 17662 17864151 allow ip from any 80 to me
00600 28439 4440861 allow ip from 192.168.100.0/24 to me
00610 0 0 allow ip from me to 192.168.100.0/24
00700 164 9273 allow tcp from any to any dst-port 25,110,443,995,5999
00710 2863 1236858 allow tcp from any 25,110,443,995,5999 to any
00790 0 0 fwd 192.168.100.254,3389 ip from 81.24.137.113 3389 to me dst-port 3389
00800 0 0 allow ip from 81.24.137.113 to any
00810 0 0 allow ip from any to 81.24.137.113
65535 6535 720022 deny ip from any to any
Re: ipfw + почта
Добавлено: 2007-11-13 14:12:35
dikens3
Для начала натить нужно не всё, а только нужное (Входящее из инета и исходящее в инет)
divert 8668 ip from any to any via ВНЕШНИЙ_ИНТЕФЕЙС
Далее включить лог для прибиваемых пакетов:
deny log ip from any to any
И наконец главное.
Считаем что ты хочешь предоставить возможность
пользователям твоей сети предоставить доступ к почте (25 и 110 порт и DNS для работы)
Нужные правила выглядят примерно так:
Код: Выделить всё
allow tcp from СЕТЬ to ИНЕТ 25,110
alow udp from СЕТЬ to DNS1,DNS2 53
NAT
allow from СЕРВЕР to ИНЕТ
allow from ИНЕТ 25,110 to СЕТЬ established
allow from DNS1,DNS2 53 to СЕТЬ
ИНЕТ можешь заменить на any а СЕТЬ на 192.168.x.x
Re: ipfw + почта
Добавлено: 2007-11-14 9:17:38
AnteC
В логах увидел это:
Deny UDP 213.142.192.50:53 192.168.100.254:1032
Сделал так:
Зы в локалке стоит W2K3 Server с поднятым DNS сервером. Может быть кто-нибудь подскажет зачем понадобился 1032 порт?
Re: ipfw + почта
Добавлено: 2007-11-14 9:23:41
-cat-
А если увидишь порты 1033, 1035, 1036, 1037 и т.д. будешь по отдельности все открывать?
Проблема очевидно простая клиент не может разрешить в ДНС имя сервера, сюда и копай.
Re: ipfw + почта
Добавлено: 2007-11-14 9:28:26
AnteC
Сори что не сказал - проблема после разрешения 1032 порта исчезла - те все заработало.
Однако хотелось бы знать нафиг внешние DNS сервера коннектятся к моему на порт 1032.
Re: ipfw + почта
Добавлено: 2007-11-14 9:33:40
-cat-
AnteC писал(а):Сори что не сказал - проблема после разрешения 1032 порта исчезла - те все заработало.
Однако хотелось бы знать нафиг внешние DNS сервера коннектятся к моему на порт 1032.
Абсолютная случайность, через полчаса будешь ломать голову почему не работает, ДНС сереверы никуда не коннектяться. Вообще не мешает почитать литературу на предмет как работают сетевые протоколы и что такое порты.
Re: ipfw + почта
Добавлено: 2007-11-14 9:49:38
AnteC
Слив защитан)))
Увидел свою опечатку:
00410 allow udp from any 53 to me