Автор Тема: Не пускает 110, 25 порт (Прочитано 4099 раз)

Istorik · « : 21.09.2010 19:22:46 »

Altlinux server 5
Настроен прокси, в инет выходит а вот почту получить не получается

[root@Inform ~]# nmap -v -p 25,110 list.ru

Starting Nmap 5.00 ( http://nmap.org ) at 2010-09-21 19:16 MSD
Initiating Ping Scan at 19:16
Scanning 94.100.178.204 [4 ports]
Completed Ping Scan at 19:16, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:16
Completed Parallel DNS resolution of 1 host. at 19:16, 0.00s elapsed
Initiating SYN Stealth Scan at 19:16
Scanning gepard.mail.ru (94.100.178.204) [2 ports]
Completed SYN Stealth Scan at 19:16, 1.22s elapsed (2 total ports)
Host gepard.mail.ru (94.100.178.204) is up (0.00014s latency).
Interesting ports on gepard.mail.ru (94.100.178.204):
PORT    STATE    SERVICE
25/tcp  filtered smtp
110/tcp filtered pop3

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 1.66 seconds
           Raw packets sent: 8 (328B) | Rcvd: 1 (44B)

То-ли крыша едет и уже не могу вспомнить как делал, то-ли что то новое, после обновления.
Я полагаю тормозит iptables или он все на squid отправляет. Если в nat/PREROUTING дописать

Код: [Выделить]

-i eth0 -p tcp --dport 25 -j REDIRECT --to-port 3128
-i eth1 -p tcp --dport 25 -j REDIRECT --to-port 3128
-i eth0 -p tcp --dport 110 -j REDIRECT --to-port 3128
-i eth1 -p tcp --dport 110 -j REDIRECT --to-port 3128

то nmap пройдет но почта все равно не проходит

Код: [Выделить]

[root@Inform ~]# nmap -v -p 25,110 list.ru

Starting Nmap 5.00 ( http://nmap.org ) at 2010-09-21 19:20 MSD
Initiating Ping Scan at 19:20
Scanning 94.100.178.204 [4 ports]
Completed Ping Scan at 19:20, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:20
Completed Parallel DNS resolution of 1 host. at 19:20, 0.00s elapsed
Initiating SYN Stealth Scan at 19:20
Scanning gepard.mail.ru (94.100.178.204) [2 ports]
Discovered open port 25/tcp on 94.100.178.204
Discovered open port 110/tcp on 94.100.178.204
Completed SYN Stealth Scan at 19:20, 0.01s elapsed (2 total ports)
Host gepard.mail.ru (94.100.178.204) is up (0.00012s latency).
Interesting ports on gepard.mail.ru (94.100.178.204):
PORT    STATE SERVICE
25/tcp  open  smtp
110/tcp open  pop3

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.46 seconds
           Raw packets sent: 6 (240B) | Rcvd: 3 (132B)

в squid соответственно тоже добавлял эти порты на allow

Заранее спасибо

Vitls · « **Ответ #1 :** 22.09.2010 07:32:42 »

Может я отстал от жизни, но разве squid уже научился проксировать smtp и pop3?
Букварь тут: http://www.opennet.ru/openforum/vsluhforumID12/2041.html

Istorik · « **Ответ #2 :** 22.09.2010 10:21:02 »

В таком случае фильтрует Брандмауэр, и как его можно поправить?

kan · « **Ответ #3 :** 22.09.2010 10:49:55 »

Действительно, при чем тут порт-маппинг на 3128?!

для работы почты должны быть разрешены эти порты в filter/forward, например:
-i eth0 -s 192.168.5.174 -p tcp --dport 25 -j ACCEPT

это если вы ограничиваете доступ изнутри наружу, а если вы не ограничиваете - у вас нету галочки в алтераторе внутренние сети "Включить ограничение доступа на всех внутренних интерфейсах", то там наверное стоит вообще accept все подряд.

Ну, и соответственно должна быть запись для вашего интерфейса с провайдером в nat/postrouting - -o ppp1 -j MASQUERADE, ну и конечно - в filter/input-output: -m state --state ESTABLISHED,RELATED -j ACCEPT.
В файле etc/net/sysctl.conf: net.ipv4.ip_forward = 1

Этого достаточно, для того чтобы все ходило туда и обратно.

Вообще-то это вам зачем такие сложности? Все работает "из каробки" по умолчанию и легко корректируется через вэб морду, а все внесенные вами строчки вручную в файлы etcnet iptables будут уничтожены при малейшей манипуляции в альтераторе.

Istorik · « **Ответ #4 :** 22.09.2010 11:54:39 »

Цитата: kan от 22.09.2010 10:49:55

Действительно, при чем тут порт-маппинг на 3128?!

для работы почты должны быть разрешены эти порты в filter/forward, например:
-i eth0 -s 192.168.5.174 -p tcp --dport 25 -j ACCEPT

это если вы ограничиваете доступ изнутри наружу, а если вы не ограничиваете - у вас нету галочки в алтераторе внутренние сети "Включить ограничение доступа на всех внутренних интерфейсах", то там наверное стоит вообще accept все подряд.

Ну, и соответственно должна быть запись для вашего интерфейса с провайдером в nat/postrouting - -o ppp1 -j MASQUERADE, ну и конечно - в filter/input-output: -m state --state ESTABLISHED,RELATED -j ACCEPT.
В файле etc/net/sysctl.conf: net.ipv4.ip_forward = 1

Этого достаточно, для того чтобы все ходило туда и обратно.

Вообще-то это вам зачем такие сложности? Все работает "из каробки" по умолчанию и легко корректируется через вэб морду, а все внесенные вами строчки вручную в файлы etcnet iptables будут уничтожены при малейшей манипуляции в альтераторе.

В том то и дело, что если бы работало я бы и не сувался туда. Но оно не работает.
Все вами предложенное включено по умолчанию, и все равно

Код: [Выделить]

PORT    STATE    SERVICE
25/tcp  filtered smtp
110/tcp filtered pop3

kan · « **Ответ #5 :** 22.09.2010 14:06:04 »

а вы указали какие у вас интерфейсы являются внешними в альтераторе?

Istorik · « **Ответ #6 :** 22.09.2010 17:13:13 »

Цитата: kan от 22.09.2010 14:06:04

а вы указали какие у вас интерфейсы являются внешними в альтераторе?

Вообще нет, но попытка указать не к чему не привела.

Istorik · « **Ответ #7 :** 22.09.2010 17:43:42 »

Добрый альтератор в очередной раз не дописал таблицу ip,
Спасибо всем кто пытался помочь.

Форум сообщества
Альт Линукс