Mi Email Server esta inaccesible desde Internet - No se que revisar.... Ayuuuuuda

Forums: 

Hola a todos la gente de la Red:

Tengo Email Server SquirrelMail version 1.4.8-2.el4.centos4, hace varios dias me ayudaron a enviar mensajes con adjuntos mas grandes, estuvo calidad, pero días después, se me ha presentado un problema del cual no se como resolver, ya tengo algunos dias con este problema de accesibildad al Mail Server (www.transdyr.com.ec):

Voy a tratar de ser lo mas descriptivo posible:

Firewall (IP: 201.217.110.226 externa, IP:192.190.10.87 interna de la red)
S.O.: Linux CentOs-4
Email server (IP:192.190.10.145 interna de la red)
S.O.: Linux CentOs-4

1.- La señal de Internet del proveedor llega al modem (acceso corporativo) y entra a tarjeta de Red de Firewall IP publica 201.217.110.226 haciendo un tracert desde fuera la traza llega sin problema.

2.- Este Firewall, tambien es Proxy y las demas PC de la red navegan sin problema.

3.- El mail server desde dentro de la red.. no tiene problema alguno.

4.- Cuando se hace un tracert dsde fuera, al server 201.217.110.227 (www.transdyr.com.ec) la traza dice al ultimo "..Host de destino Inaccesible.." o se queda en la IP: 200.63.212.15

5.- Las reglas del Firewall (shorewall) no han sido cambiadas para nada y los puertos utilizados para redireccionar hacia el Email Server dicen (archivo /etc/shorewall/rules):
DNAT net loc:192.190.10.145 tcp 80 - 201.217.110.227 (para web)
DNAT net loc:192.190.10.145 tcp 25 - 201.217.110.227 (para smtp)
DNAT net loc:192.190.10.145 tcp 110 - 201.217.110.227 (para pop3)

5.- La configuracion de policies, zones, intefaces, masq, las revise... estan sin cambios, osea estan tal y como estaban cuando todo estaba normal.

Como debo hacer o que debo hacer para que el server (mail/httpd) deje de estar inaccesible, que sevicios debo verificar en el server esten subidos... no se... o que informacion necesitan para verificar la accesibilidad de este correo.

Será que es problema del proveedor de Internet..que no apunta bien...? (satnet)

No se que hacer... estoy mas perdido que gaviota en Bolivia.... je je

AYUUUUUDA POR FAVOOOOOR.
La persona quien instalo CentOs Firewall (shorewall) Squirrel, creo no esta en el País.

Agradecere como el que más a quien pueda guiarme para resolver este problema de accesibilidad.

Disculpas por ser tan pesado y extenso... y mil gracias de antemano

Patricio

La traza si tiene problemas

Imagen de acl

Hay algunas cosas que no me cuadran:

El resultado de mi traceroute a tu direccion del fw (201.217.110.226) me llega hasta

20 sw3l.uio.satnet.net (200.63.212.15) 124.012 ms 227.988 ms 124.990 ms
21 * * *
22 * * *
...

Asi que la traza si tiene problemas para llegar a esos rumbos.

La otra cosa que no me convence es para que haces dnat si tienes la segunda direccion disponible? No tengo claro lo que esta haciendo shorewall asi que valdria la pena ver las iptables sin censura (lluchas) para ver que esta sucediendo. Muestranos la salida de 'iptables-save'.

Como genero la salida iptables-save

Imagen de patricio_cadena

Gracias por tu ayuda:

Dime por favor como genero la salida "iptables-save", ya que me dice
# more /sbin/iptables-save
*********** /sbin/iptables-save: Not a text file *******
Y esto le saco el Server supongo o del Firewall?

Los señores del proveedor de internet manifiestan que el problema no es de ellos sino del Firewall o del Server, a pesar de que les he mencionado que la trama aparentemente no llega y en ciertos casos se queda en la IP: 200.63.212.15, y ya han habido problemas de conexion con esta empresa, entonces ya no les creo lo que me digan.

Ellos dicen: al Firewall llega la traza y al Server dice ..."Host de destino Inaccesible", entonces me dicen, el problema es de su Firewall o de su Server.

Atte
Patricio

Solo corre iptables-save

Imagen de acl

Solo corre iptables-save como root. Su salida es lo que tienes que mostrar.

Tambien diles a tus proveedores que si tienen bloqueado icmp a traves de la ip que vimos en mi traza (lo cual sospecho estan haciendo) tengan la bondad de aplicarte 20% de descuento porque cuando uno quiere conectarse a internet quiere acceso a TODO EL MUGRE INTERNET. Justamente cuando pasan estos problemas es que necesitamos hacer pings y traceroutes para encontrar la causa del problema.

Valdria la pena coordinar un par de pruebas para ver el comportamiento desde tu perspectiva. Podrias abrir un puerto temporalmente en el fw con nc e iniciar una sesion de tcpdump para que luego yo intente conectarme y ver que pasa.

Otra cosa con la que puedes probar es con 'echo 1 > /proc/sys/net/ipv4/ip_no_pmtu_disc'. A veces pasa que los proveedores no permiten esto. Si te funciona, puedes hacer que la configuracion sea permanente agregando la linea 'net.ipv4.ip_no_pmtu_disc=1' en /etc/sysctl.conf

No esta bloqueado icmp dice el prooveedor de Internet

Imagen de patricio_cadena

Segun el proveedor de Internet me dicen que no tienen bloqueado icmp para acceso a mail server.

Por fa dime como te habilito un puerto y puedas conectarte.. para que tengas la fineza de ayudarme, total no hay nada que esconder. si deseas me puedes notificar a mi email:
patricio_cadena@hotmail.com

Ahhh debo mencionarte que el iptables-save no arroja nada, por que segun lo que estaba revisando mis anotaciones de cuando instalaron el firewall (shorewall) y Server (Apache y squirrelmail)...Estos servicios NO estan subidos:

apmd, cups, cups-config-demon, iptables, isdn, mdmonitor, pcmcia, rpcgssd, rpcidmap

No se de que manera te ayude a ayudarme esta aclaracion.

Me imagino que iptables no usa por que el shorewall hace las funciones respectivas.

Que podre hacer?

shorewall es una herramienta

Imagen de acl

shorewall es una herramienta de mas alto nivel que iptables, pero ambas configuran las reglas de filtrado de paquetes del kernel (llamadas netfilter). Por ende, las reglas que esten vigentes podran ser vistas tanto por shorewall como por iptables-save. Prueba tambien con 'iptables -nvL' por si acaso...

No importa que el servicio de iptables no este levantado, si shorewall lo esta y esta bien configurado, entonces tienes reglas de filtrado vigentes...

Para hacer la prueba, primero instala netcat (a veces tambien le llaman nc). Este paquete te instala el ejecutable principal llamado nc. Este programa te permite controlar un puerto de red y conmunicarte con hosts remotos a traves de salida/entrada estandar. Una vez instalado nc, corre lo siguiente en el fw:


# echo "Hola Mundo" | nc -l -p xx

donde xx puede ser el puerto que queremos probar. Podriamos empezar bajando apache y usando xx=80 con esto yo podria iniciar una conexion y si yo veo "Hola Mundo", la conexion fue exitosa.

Gracias companero

Imagen de patricio_cadena

Netcat, si ha estado instalado en el linux, pero no nos dio resultado nuestras pruebas, Ahora lo que estoy haciendo, es instalar otra maquina Linux con otro Firewall rc.firewall-2.4 y ademas estamos cambiandonos de proveedor de Internet de Satnet a Andinanet. No se si estara bien lo que hago, pero ya hemos tenido demasiados problemas con Satnet y sus benditas conexiones intermitentes, esto es simplemente la gota que derramo...

Creo que ahora debere aprender y rapido a usar IPTABLES las reglas y toda esa cosa.

Chao compa
Gracias y suerte

Mi Email Server esta inaccesible desde Internet

Imagen de burjans

Dale un vistazo a este enlace que te doy, es para CentOS:

http://cursos.ernestoperez.com/rc.firewall

Yo pensaba instalar Shorewall según el manual de Alcance Libre pero me decidí por iptables.

http://www.alcancelibre.org/staticpages/index.php/como-shorewall-3-interfaces-red

salu2

Burjans

Comunidad del Software Libre
Lic. Burjans L. Garcia. Disotuar
Com-SL http://www.com-sl.org

Páginas