Proxy squid y Microsoft exchange 2007

Forums: 

Saludos, trabajo en el departamento de TI de una empresa, en la que tenemos un sevidor de correo electrónico (MS Exchange 2007) y tambien tenemos un servidor Centos 6.2 con squid. Pero... mediante la red inalambrica para internet que sale desde es servidor centos, no se puede recibir correo electrónico de la empresa, pero en una red inalámbrica directa de la red (igualmente filtrada por squid) si se puede.

Alguna idea de que podría hacer??

Detallo los puertos abiertos en el archivo rc.firewall:

# ===>> Enmascaramiento <<=== #
#$IPTABLES -t nat -A POSTROUTING -o eth0 -s $LAN_IP_RANGE -j MASQUERADE
##ejemplo ruteo por ip
#$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.200 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.1 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.7 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s $LAN_IP_RANGE2 -j SNAT --to-source $STATIC_IP
#$IPTABLES -t nat -A POSTROUTING -o eth0 -s $LAN_IP_RANGE2 -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -o eth0 -s $LAN_IP_RANGE3 -j MASQUERADE

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# === Permitir acceso a servicios basicos #
$IPTABLES -A INPUT -i eth -p tcp -m tcp --dport 222 --syn -j ACCEPT
#iptables -A INPUT -p tcp --dport 3269 -j ACCEPT
#80
$IPTABLES -A INPUT -p tcp --dport 222 -j ACCEPT
#25
#$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
#$IPTABLES -A INPUT -i eth1 -p tcp --dport 8088 -j ACCEPT
#$IPTABLES -A INPUT -i eth1 -p tcp --dport 8443 -j ACCEPT
#$IPTABLES -A INPUT -i eth1 -p tcp --dport 1099 -j ACCEPT
#$IPTABLES -A INPUT -i eth1 -p tcp --dport 5432 -j ACCEPT
#$IPTABLES -A INPUT -i eth2 -p tcp --dport 8088 -j ACCEPT
#$IPTABLES -A INPUT -i eth2 -p tcp --dport 8443 -j ACCEPT
#$IPTABLES -A INPUT -i eth2 -p tcp --dport 1099 -j ACCEPT
#$IPTABLES -A INPUT -i eth2 -p tcp --dport 5432 -j ACCEPT
#8888
#iptables -A INPUT -p tcp --dport 3268 -j ACCEPT
#21
#iptables -A INPUT -p tcp --dport 23 -j ACCEPT
#iptables -A INPUT -p tcp --dport 9010 -j ACCEPT
#iptables -A INPUT -p 47 -j ACCEPT
MYADDR="190.110.219.38"
#Redireccion de puertos
# Redireccionamiento webmail #
#$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 26 -j DNAT --to 192.168.1.1:26
#$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.1 --dport 26 -j ACCEPT

# HTTP del Servidor Exchange#
$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 80 -j DNAT --to 192.168.1.1:80
$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.1 --dport 80 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 80 -j DNAT --to 172.16.4.1:80
$IPTABLES -A FORWARD -i eth0 -p tcp -d 172.16.4.1 --dport 80 -j ACCEPT

# IMAP del Servidor Exchange#
#$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 143 -j DNAT --to 192.168.1.1:80
#$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.1 --dport 143 -j ACCEPT

# SMTP del Servidor Exchange#

$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 25 -j DNAT --to 192.168.1.1:25
$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.1 --dport 25 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 25 -j DNAT --to 172.16.4.1:25
$IPTABLES -A FORWARD -i eth0 -p tcp -d 172.16.4.1 --dport 25 -j ACCEPT

# HTTPS del Servidor Exchange#

$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 443 -j DNAT --to 192.168.1.1:443
$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.1 --dport 443 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 443 -j DNAT --to 172.16.4.1:443
$IPTABLES -A FORWARD -i eth0 -p tcp -d 172.16.4.1 --dport 443 -j ACCEPT

# VPN del Servidor Exchange#

#$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 47 -j DNAT --to 192.168.1.1:47
#$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.1 --dport 47 -j ACCEPT

#unidad de analisis financiero

$IPTABLES -A PREROUTING -t nat -i eth0 -p udp -d $MYADDR --dport 8443 -j DNAT --to 192.168.1.1:8443
$IPTABLES -A FORWARD -i eth0 -p udp -d 192.168.1.1 --dport 8443 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p udp -d $MYADDR --dport 443 -j DNAT --to 192.168.1.1:443
$IPTABLES -A FORWARD -i eth0 -p udp -dhttp://www.google.es/ 192.168.1.1 --dport 443 -j ACCEPT

#ips abiertas para prueba de conexion a correo

$IPTABLES -A PREROUTING -t nat -i eth0 -p udp -d $MYADDR --dport 25 -j DNAT --to 192.168.1.1:25
$IPTABLES -A FORWARD -i eth0 -p udp -d 192.168.1.1 --dport 25 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p udp -d $MYADDR --dport 587 -j DNAT --to 192.168.1.1:587
$IPTABLES -A FORWARD -i eth0 -p udp -d 192.168.1.1 --dport 587 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p udp -d $MYADDR --dport 135 -j DNAT --to 192.168.1.1:135
$IPTABLES -A FORWARD -i eth0 -p udp -d 192.168.1.1 --dport 135 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p udp -d $MYADDR --dport 143 -j DNAT --to 192.168.1.1:143
$IPTABLES -A FORWARD -i eth0 -p udp -d 192.168.1.1 --dport 143 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p udp -d $MYADDR --dport 993 -j DNAT --to 192.168.1.1:1993
$IPTABLES -A FORWARD -i eth0 -p udp -d 192.168.1.1 --dport 993 -j ACCEPT

#---------------------------------------------

$IPTABLES -A PREROUTING -t nat -i eth0 -p udp -d $MYADDR --dport 47 -j DNAT --to 192.168.1.1:47
$IPTABLES -A FORWARD -i eth0 -p udp -d 192.168.1.1 --dport 47 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 1723 -j DNAT --to 192.168.1.1:1723
$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.1 --dport 1723 -j ACCEPT

#$IPTABLES -A PREROUTING -t nat -i eth0 -p udp -d $MYADDR --dport 1701 -j DNAT --to 192.168.1.1:1701
#$IPTABLES -A FORWARD -i eth0 -p udp -d 192.168.1.1 --dport 1701 -j ACCEPT

#Acceso Control Bussiness (Administracion)
$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 1433 -j DNAT --to 192.168.1.200:1433
$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.200 --dport 1433 -j ACCEPT

$IPTABLES -A PREROUTING -t nat -i eth0 -p gre -d $MYADDR -j DNAT --to 192.168.1.1
$IPTABLES -A FORWARD -i eth0 -p gre -d 192.168.1.1 -j ACCEPT

#acceso intranet

$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 987 -j DNAT --to 192.168.1.1:987
$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.1 --dport 987 -j ACCEPT

#acceso a camaras

$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp -d $MYADDR --dport 9010 -j DNAT --to 192.168.1.105:9010
$IPTABLES -A FORWARD -i eth0 -p tcp -d 192.168.1.105 --dport 9010 -j ACCEPT

#acceso 443 a mi red libre

$IPTABLES -A FORWARD -s $LAN_IP_RANGE2 -d $STATIC_IP -p tcp --dport 443 -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IP_RANGE2 -d $STATIC_IP -p tcp --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IP_RANGE2 -d $STATIC_IP -p tcp --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IP_RANGE2 -d $STATIC_IP -p tcp --dport 80 -j ACCEPT

También detallo configuración de squid.conf:

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 443
acl Safe_ports port 25
acl Safe_ports port 587
acl Safe_ports port 135
acl Safe_ports port 143
acl Safe_ports port 993

#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

Gracias por su ayuda.
PD. Spy algo novato en administración de servidores Linux.

SQUID no tiene nada que ver a

Imagen de deathUser

SQUID no tiene nada que ver a no ser que el acceso al moco$oft Exchange lo hagas vía HTTP/S a través de SQUID, si usas POP3 o IMAP mira las reglas de enmascaramiento o NAT para la red con el problema e incluso ruteo.

bye
;)

Pues has pruebas de

Imagen de deathUser

Pues has pruebas de traceroute entre redes, mira con un sniffer a ver qué es lo que está pasando con los paquetes de las conexiones que te interesan, etc ...

bye
;)