Forums:
Hola.
Tengo configurado Squid en una distro mandriva 2008. El proxy esta configurado de modo transparente en donde se redirecciono el puerto 80 al 3128 y los usuarios salen a internet por medio del proxy. Los usuarios manejan cuentas de correos pop3 las cuales trabajan con microsoft outlook 2003. El problema es que ninguno de ellos estando detras del proxy puede mandar o recivir correos de su cuenta de correos.
Acaso hay que configurar otra regla iptables que habra los puertos 25 y 110 ¿?
Saludos.
Antes que todo, muchas
Antes que todo, muchas gracias por la ayuda que me han dado, de verdad me ha servido mucho.
Siguiendo con mi tema, edite el scrip lo deje de la siguiente manera:
#!/bin/sh
case "$1" in
'start')
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
##abrir puerto 25
/sbin/iptables -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -d 192.168.0.0/24 -i eth1 -p tcp --sport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -d 192.168.0.0/24 -i eth1 -p tcp --sport 110 -j ACCEPT
/sbin/service iptables save
/sbin/service iptables restart
touch /var/lock/subsys/cortafuego
;;
'stop')
rm -f /var/lock/subsys/cortafuego
;;
*)
echo "Usage: $0 { start | stop }"
;;
esac
exit 0
Luego reinicie las reglas y aplique el comando iptables -L n y me sale lo siguiente:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:110
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 192.168.0.0/24 tcp spt:25
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 192.168.0.0/24 tcp spt:110
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 192.168.0.0/24 tcp spt:25
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 192.168.0.0/24 tcp spt:110
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25
Cuando voy a un equipo que está en la LAN y pruebo una configuración de correo en el outlook, me arroja problemas aún de no poder enviar.
¿que me falta aun? o que está mal
Pd. Se me olvido alcarar anteriormente en los post que e planteado, que al servidor de correos está fuera de la red.
Muchas gracias.
____________________________________
Me gusta aprender, me gusta Linux !!
Te le dije en mi ultimo post
Te lo dije en mi ultimo post o no :? ????, revisa sobre los conceptos de INPUT y FORWARD.
CONCEPTOS RESUMIDOS A 1:1000
INPUT.- Usar solo cuando el puerto esta en el mismo server TUYO.
FORWARD: Cuando el puerto está en un server FUERA de TU red.
Saludos.
Keep The Fire Burning.....
Stryper 1988
Entonces, como mi servidor
Entonces, como mi servidor está afuera de la red, seria así:
vi reglasfw
#!/bin/sh
case "$1" in
'start')
/sbin/iptables -F
/sbin/ iptables -X
/sbin/ iptables -Z
/sbin/ iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
##abrir puerto 25
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -p tdp --sport 25 -j ACCEPT
##abiri puerto 110
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -p tcp --sport 110 -j ACCEPT
/sbin/service iptables save
/sbin/service iptables restart
touch /var/lock/subsys/cortafuegos
;;
'stop')
rm -f /var/lock/subsys/cortafuegos
;;
*)
echo "Usage: $0 { start | stop }"
;;
esac
exit 0
Reinicio la regla iptables "service conrtafuego stop" y "service cortafuego start" hasta ahi todo ok.
Aplico el comando iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 192.168.0.0/24 tcp spt:110
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Pruebo y pruebo y nada :(
Muchas gracias
____________________________________
Me gusta aprender, me gusta Linux !!
Solo necesitas la primera
Solo necesitas la primera linea de cada puerto la que es:
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
La que es FORWARD -d esta demás.
No sera que tu proveedor de interent tiene bloqueado el puerto 25 es una practica muy muy comun para evitar spam, si es ya dependes de ellos.
Keep The Fire Burning.....
Stryper 1988
Hola, con la sugerencia que
Hola, con la sugerencia que tu me diste, asi me queda el script
#!/bin/sh
case "$1" in
'start')
/sbin/iptables -F
/sbin/ iptables -X
/sbin/ iptables -Z
/sbin/ iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#############abrir puerto 25 y 110##################
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tdp --dport 110 -j ACCEPT
/sbin/service iptables save
/sbin/service iptables restart
touch /var/lock/subsys/cortafuego
;;
'stop')
rm -f /var/lock/subsys/cortafuego
;;
*)
echo "Usage: $0 { start | stop }"
;;
esac
exit 0
El comando iptables -L n ahora arroja:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:25
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
No es que el proveedor de correos no tenga bloqueados los puertos, ya que desde cualquier otro punto fuera de la red, se puede enviar y recibir correos sin problemas de las mismas cuentas.
No funciona :( :(
____________________________________
Me gusta aprender, me gusta Linux !!
Hola. Mira sucede tengo una
Hola.
Mira sucede tengo una duda, hay algunos computadores que tiene su outlook y en el dos cuentas de correos de distinto proveedor (ip distintas y nombre de dominio distinto), si bien las dos son POP3, una "cuenta2" puede trabajar sin problemas (envia y recibe) y la otra "cuenta1" no hace nada, solo los errores:
(La tarea 'Recibiendo mail.dominio.com' ha notificado el error (0x80042108) : 'Outlook no puede conectar con el servidor de correo entrante (POP3). Si sigue recibiendo este mensaje, póngase en contacto con el administrador del servidor o con el proveedor de servicios de Internet (ISP))
No se si tendra que ver pero incluso la "cuenta1" la que da errores tampoco me carga su webmail al contrario de la "cuenta2" que me carga el webmail altiro sin problemas.
Sera acaso, que la reglas iptables no se estan guardando, o no se actulizan los cambios que le hago al scrip?
Ayuda por favor, esToy desesperado :(
Gracias
____________________________________
Me gusta aprender, me gusta Linux !!
El problema, es que estaba
El problema, es que estaba "baneada" en lista negra.
Igual tengo unos problemas, pero los planteare en otro post
Muchas Gracias.
____________________________________
Me gusta aprender, me gusta Linux !!
Has revisado el trafico con
Has revisado el trafico con destino al puerto 25 ???, de ley debes estar siendo relay de spam, te toca analizar si el spam viene de tu red o desde fuera haciendo el relay.
APlica estas reglas en tu iptables:
iptables -A FORWARD -p tcp --dport 25 -j LOG --log-prefix "SMTP:"
iptables -I FORWARD 1 -p tcp --dport 25 -i eth1 -m state --state NEW -m recent --set
iptables -I FORWARD 2 -p tcp --dport 25 -i eth1 -m state --state NEW -m recent --update --seconds 60 --hitcount 30 -j DROP
Mira con iptra la cantidad de paquetes destinados al puerto tcp 25, otra recomendacion usa ntop para saber y ver de modo estadistico y gráficamente lo que pasa por tu red, es de mucha ayuda, ahroa todoq ueda en tus manos debes aplicar más restricciones y control en tu red.
Keep The Fire Burning.....
Stryper 1988
Gracias por la ayuda que me
Gracias por la ayuda que me has dado, estoy muy agradecido ;).
Me dices que aplique las siguientes reglas en iptables:
iptables -A FORWARD -p tcp --dport 25 -j LOG --log-prefix "SMTP:"
iptables -I FORWARD 1 -p tcp --dport 25 -i eth1 -m state --state NEW -m recent --set
iptables -I FORWARD 2 -p tcp --dport 25 -i eth1 -m state --state NEW -m recent --update --seconds 60 --hitcount 30 -j DROP
Con esas reglas podre ver el logs del trafico del puerto 25?
____________________________________
Me gusta aprender, me gusta Linux !!
una duda
Tengo una duda conrespecto al scrip que actualmente tengo, mas especificamente en la sección de forwadeo de paquetes hacia el puerto 25. Actualmente esa sección está así:
#############abrir puerto 25 y 110##################
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tdp --dport 110 -j ACCEPT
#############abrir puerto 25 y 110##################
Mi duda, si mi interfaz externa es la eth0 y la interfaz interna es eth1, el forwardeo no tengo que hacerlo hacia la eth0 mi interfaz que sale a internet, quedando de la siguiente forma:
#############abrir puerto 25 y 110##################
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tdp --dport 110 -j ACCEPT
#############abrir puerto 25 y 110##################
Gracias por la aclaración.
Saludos
____________________________________
Me gusta aprender, me gusta Linux !!
Páginas