PROBLEMAS DE OUTLOOK E IPTABLES

Imagen de jecmcali

Forums: 

hola parseros del ciberespacio, acabo de instalar un servidor bajo centos 4.7, el cual tiene 2 nic, una para internet y la otra para la red local, las estaciones utilizan winxp y se conectan a internet por proxy de squid 2.7.

todo funciona a las mil maravillas eseptuando el outlook el cual genera un error

No se pudo encontrar el host "pop.cable.net.co". Compruebe el nombre del servidor. Cuenta: 'pop.cable.net.co', Servidor: 'pop.cable.net.co', Protocolo: POP3, Puerto: 110, Seguridad (SSL): No, Error de socket: 11004, Número de error: 0x800CCC0D

he leido mas de 50000 pag para solucionar este problema pero paila, nada hasta ahora.

esta es la configuracion de iptables

# Generated by iptables-save v1.2.11 on Tue Aug 11 18:12:35 2009
*nat
:PREROUTING ACCEPT [114:6821]
:POSTROUTING ACCEPT [17:2572]
:OUTPUT ACCEPT [17:2572]
-A PREROUTING -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 172.16.0.0/255.255.0.0 -i eth0 -j DROP
-A PREROUTING -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP
-A PREROUTING -s 1.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 2.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 5.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 7.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 23.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 27.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 31.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 37.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 39.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 41.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 42.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 58.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 59.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 60.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 69.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 70.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 71.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 72.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 73.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 74.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 75.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 76.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 77.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 78.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 79.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 82.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 83.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 84.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 85.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 86.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 87.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 88.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 89.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 90.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 91.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 92.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 93.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 94.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 95.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 96.0.0.0/240.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 112.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 113.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 114.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 115.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 116.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 117.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 118.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 119.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 120.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 121.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 122.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 123.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 124.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 125.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 126.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 197.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 217.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 218.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 219.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 221.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 222.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 223.0.0.0/255.0.0.0 -i eth0 -j DROP
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth0 -j SNAT --to-source 190.144.117.162
COMMIT
# Completed on Tue Aug 11 18:12:35 2009
# Generated by iptables-save v1.2.11 on Tue Aug 11 18:12:35 2009
*filter
:INPUT DROP [25:2282]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:allowed - [0:0]
:fail2ban-SSH - [0:0]
:fail2ban-ssh - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udpincoming_packets - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-ssh
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -i eth0 -p tcp -j tcp_packets
-A INPUT -i eth0 -p udp -j udpincoming_packets
-A INPUT -i ppp+ -j ACCEPT
-A INPUT -d 127.0.0.1 -j ACCEPT
-A INPUT -d 192.168.10.10 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -s 192.168.10.10 -j ACCEPT
-A INPUT -s 190.144.117.162 -j ACCEPT
-A INPUT -d 192.255.255.255 -i eth1 -j ACCEPT
-A INPUT -d 190.144.117.162 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 190.144.225.114 -j DROP
-A FORWARD -s 190.144.255.114 -j DROP
-A FORWARD -s 192.168.10.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j DROP
-A FORWARD -s 192.168.10.0/255.255.255.0 -d 192.168.10.0/255.255.255.0 -i eth1 -o ppp+ -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -d 192.168.10.0/255.255.255.0 -i ppp+ -o eth1 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 119 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 1863 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 6346:6400 -j DROP
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 1/sec -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.10.10 -j ACCEPT
-A OUTPUT -s 190.144.117.162 -j ACCEPT
-A OUTPUT -o ppp+ -j ACCEPT
-A OUTPUT -m limit --limit 1/sec --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A fail2ban-SSH -j RETURN
-A fail2ban-ssh -j RETURN
-A tcp_packets -p tcp -m tcp --dport 20 -j allowed
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 1723 -j allowed
-A tcp_packets -p tcp -m tcp --dport 6891:6900 -j allowed
-A tcp_packets -p tcp -m tcp --dport 81 -j allowed
-A tcp_packets -p tcp -m tcp --dport 3389 -j allowed
-A tcp_packets -p tcp -m tcp --dport 6010:6015 -j allowed
-A tcp_packets -p tcp -m tcp --dport 8080 -j allowed
-A tcp_packets -p tcp -m tcp --dport 1500:1550 -j allowed
-A tcp_packets -p tcp -m tcp --dport 443 -j allowed
-A tcp_packets -p tcp -m tcp --dport 4443 -j allowed
-A tcp_packets -p tcp -m tcp --dport 1863 -j allowed
-A tcp_packets -p tcp -m tcp --dport 6901 -j allowed
-A tcp_packets -p tcp -m tcp --dport 25 -j allowed
-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 110 -j allowed
-A tcp_packets -p tcp -m tcp --dport 143 -j allowed
-A tcp_packets -p tcp -m tcp --dport 995 -j allowed
-A tcp_packets -p tcp -m tcp --dport 10000 -j allowed
-A udpincoming_packets -p udp -m udp --sport 53 -j ACCEPT
-A udpincoming_packets -p udp -m udp --sport 1500:1550 -j ACCEPT
-A udpincoming_packets -p udp -m udp --dport 53 -j ACCEPT
-A udpincoming_packets -p udp -m udp --sport 123 -j ACCEPT
COMMIT
# Completed on Tue Aug 11 18:12:35 2009
# Generated by iptables-save v1.2.11 on Tue Aug 11 18:12:35 2009
*mangle
:PREROUTING ACCEPT [963:437598]
:INPUT ACCEPT [880:433046]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1051:486439]
:POSTROUTING ACCEPT [1051:486439]
COMMIT
# Completed on Tue Aug 11 18:12:35 2009

si me pueden dar algun dato se los agradeseria infinitamente, o como mejorar el iptables

Es un error de resolución de

Imagen de acl

Es un error de resolución de nombres. Hay dos posibilidades para solucionarlo: a) pones un servidor dns que tenga acceso a internet en la misma red que tus clientes o b) permites el paso de paquetes de dns (53 udp y tcp) en la tabla de FORWARD.

gracias acl por responder,

Imagen de jecmcali

gracias acl por responder, pero no te entiedo bien cuando dices que "hay que poner un servidor dns que tenga acceso a internet en la misma red que tus clientes".

esto se hace en my servidor?....... y si es asi como?

lo relasionado con el punto "b) permites el paso de paquetes de dns (53 udp y tcp) en la tabla de FORWARD."

que pasa con estas reglas?
-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
A udpincoming_packets -p udp -m udp --sport 53 -j ACCEPT

te agradesria si fueras un poco mas explicito con tus respuestas!!!!

Lo que te dice acl es que

Lo que te dice acl es que pongas una maquina en tu red interna que actue como servidor de dns, obviamente esta debera salir hacia el internet, la idea es que los host de tu red interna resuelvan el dns que has configurado, este hara forward hacia el dns de tu proveedor y toda tu red ya podra resolver nombres, pero esto es solamente una de las alternativas con las cuales podrias solucionar tu problema.

La otra es que permitas hacer una regla de FORWARD para el puerto 53 tanto en tcp como udp en tu script de iptables.

iptables -A FORWARD -i eth1 -s redinterna/24 -o eth0 -d any/0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -s redinterna/24 -o eth0 -d any/0 -p udp --dport 53 -j ACCEPT

Si deseas en la opcion any/0 puedes reemplazar con las direcciones de dns de tu proveedor.

Saludos,

Para implementar un servidor

Imagen de acl

Para implementar un servidor dns puedes seguir el COMO que hay en ecualug para configurar un servidor de caching de DNS. Suttilakha aclaró lo que te sugerí arriba. Si pones un servidor dns al que tus clientes (el outlook, por ejemplo) puedan acceder, ya no tendrás el problema.

Las reglas que mencionas no permiten el paso de tráfico dns entre tu red e internet porque son parte de la cadena de INPUT. Deberían estar en la de FORWARD para que pasen. Ésta es la solución más fácil de implementar.

hola compañeros, agrege estas

Imagen de jecmcali

hola compañeros, agrege estas lineas a iptables como me lo sugirieron (200.26.137.135 y 200.14.207.210, los DNS de la conexion de internet del ISP) pero el problema persiste con el outlook, que podra ser?

-A FORWARD -s 192.168.10.0/255.255.255.0 -d 200.26.137.135 -i eth1 -o eth0 -p tc p -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -d 200.14.207.210 -i eth1 -o eth0 -p tc p -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -d 200.26.137.135 -i eth1 -o eth0 -p ud p -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.10.0/255.255.255.0 -d 200.14.207.210 -i eth1 -o eth0 -p ud p -m udp --dport 53 -j ACCEPT

Veo espacios en tus reglas

Imagen de acl

Te faltan las reglas de regreso (los parámetros '-s elipdeldns -d tured/tumask').

Veo espacios en tus reglas ('-p tc p' en lugar de '-p tcp' e igual con udp). ¿Pueden tus clientes resolver los nombres de otros dominios (con nslookup buscar www.google.com por ejemplo)?