LINUX.ORG.RU
решено ФорумAdmin

iptables открыть 25 порт


0

1

Как сделать, чтобы можно было отсылать почту с сервака (postfix) из интернета? В локальной сети всё работает.

nmap:

PORT     STATE SERVICE       VERSION
21/tcp   open  ftp           PureFTPd
22/tcp   open  ssh           OpenSSH 5.1p1 Debian 5 (protocol 2.0)
80/tcp   open  http          nginx 0.6.32
143/tcp  open  imap          Dovecot imapd
3389/tcp open  microsoft-rdp Microsoft Terminal Service

iptables:

# Generated by iptables-save v1.4.2 on Mon Dec 26 02:32:07 2011
*nat
:PREROUTING ACCEPT [9032017:594860121]
:POSTROUTING ACCEPT [259268:26606646]
:OUTPUT ACCEPT [402162:39237840]
-A PREROUTING -d ВНЕШНИЙ_IP/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.6.2.1:3389 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o tun+ -j MASQUERADE 
COMMIT
# Completed on Mon Dec 26 02:32:07 2011
# Generated by iptables-save v1.4.2 on Mon Dec 26 02:32:07 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:IN - [0:0]
:VPN - [0:0]
-A INPUT -i tun+ -j VPN 
-A INPUT -j IN 
-A FORWARD -i tun+ -j VPN 
-A FORWARD -j IN 
-A OUTPUT -j ACCEPT 
-A IN -i lo -j ACCEPT 
-A IN -i eth1 -j ACCEPT 
-A IN -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A IN -p icmp -m icmp --icmp-type 3 -j ACCEPT 
-A IN -p icmp -m icmp --icmp-type 11 -j ACCEPT 
-A IN -p icmp -m icmp --icmp-type 12 -j ACCEPT 
-A IN -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A IN -s 64.233.192.0/18 -p tcp -m tcp --dport 21 -j DROP 
-A IN -s 64.233.192.0/18 -p udp -m udp --dport 21 -j DROP 
-A IN -s 91.121.0.0/16 -p tcp -m tcp --dport 21 -j DROP 
-A IN -s 91.121.0.0/16 -p udp -m udp --dport 21 -j DROP 
-A IN -p tcp -m tcp --dport 21 -j ACCEPT 
-A IN -p udp -m udp --dport 21 -j ACCEPT 
-A IN -p tcp -m tcp --dport 30000:50000 -j ACCEPT 
-A IN -p udp -m udp --dport 30000:50000 -j ACCEPT 
-A IN -s 64.233.192.0/18 -p tcp -m tcp --dport 22 -j DROP 
-A IN -s 91.121.0.0/16 -p tcp -m tcp --dport 22 -j DROP 
-A IN -p tcp -m tcp --dport 22 -j ACCEPT 
-A IN -p tcp -m tcp --dport 25 -j ACCEPT 
-A IN -p tcp -m tcp --dport 80 -j ACCEPT 
-A IN -p tcp -m tcp --dport 143 -j ACCEPT 
-A IN -p tcp -m tcp --dport 3389 -j ACCEPT 
-A IN -j DROP 
-A VPN -j ACCEPT 
-A VPN -j DROP 
COMMIT
# Completed on Mon Dec 26 02:32:07 2011

★★★★

1. постфикс слушает внешний инт.?
2.ты хочешь слать почту на сервер или с сервера в мир?

dreamer ★★★★★
()
Ответ на: комментарий от dreamer

1. Ах, это в постфиксе настраивается? 2. Из интернета с сервера в мир. Мне нужно чтоб в IMAPовских директориях сохранялись исходящие.

ViTeX ★★★★
() автор топика
Ответ на: комментарий от ViTeX

Это из-за этого, да?

/etc/postfix/main.cf:

...
mynetworks = 127.0.0.1/32, 10.6.2.0/24
...

А как бы в таком случае побезопасней сделать?

ViTeX ★★★★
() автор топика
Ответ на: комментарий от ViTeX

Из локалки в мир отправляет.

ViTeX ★★★★
() автор топика

Для сервера, который способен отправлять почту в мир, на нем подозрительно мало слушающих сокетов на 25 порту..

pianolender ★★★
()

А провайдер, часом, не режет исходящие коннекты на 25 порт? Довольно частая проблема.

leave ★★★★★
()
Ответ на: комментарий от Pinkbyte
relayhost = 
mynetworks = 127.0.0.1/32, 10.6.2.0/24
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4
netstat -pnlt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      3903/dovecot    
tcp        0      0 127.0.0.1:10024         0.0.0.0:*               LISTEN      8099/amavisd (maste
tcp        0      0 127.0.0.1:10025         0.0.0.0:*               LISTEN      16060/master    
tcp        0      0 127.0.0.1:9001          0.0.0.0:*               LISTEN      8656/php-cgi    
tcp        0      0 127.0.0.1:5001          0.0.0.0:*               LISTEN      8671/php-cgi    
tcp        0      0 127.0.0.1:5002          0.0.0.0:*               LISTEN      8666/php-cgi    
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      8159/mysqld     
tcp        0      0 127.0.0.1:5004          0.0.0.0:*               LISTEN      8661/php-cgi    
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      3903/dovecot    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      8674/nginx      
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      11031/pure-ftpd (SE
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      8066/sshd       
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      16060/master    
tcp6       0      0 :::21                   :::*                    LISTEN      11031/pure-ftpd (SE
ViTeX ★★★★
() автор топика
Ответ на: комментарий от ViTeX

1) постфикс слушает все интерфейсы - это хорошо
2) Проблема в файрволле у тебя или у провайдера(они часто любят резать 25 порт)

Pinkbyte ★★★★★
()
Ответ на: комментарий от ViTeX

И что в таком случае можно сделать?

ViTeX ★★★★
() автор топика
Ответ на: комментарий от Pinkbyte

Да, очень на то похоже. А что надо сделать, чтобы из локальной сети всё осталось как и было, а из инета, шло через сервер в имповский каталог, а не на прямую через провайдерский релей?

ViTeX ★★★★
() автор топика
Ответ на: комментарий от leave

Cервер на фирме. nmap стартовом сообщении с моего компа. telnet по 25 порту не проходит: только к моему провайдеру удалось зайти.

Я так понимаю нужно что-то подобное гуглопочте делать по 465/587 порту?

ViTeX ★★★★
() автор топика

Что-то не могу понять, как разделить в постфиксе локальные и внешние соединения, чтобы для локальных оставалось всё как есть?

ViTeX ★★★★
() автор топика

Достаточно было раскомментировать smtps в /etc/postfix/master.cf и открыть 465 порт, теперь работает.

ViTeX ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.