spooots
Anmeldungsdatum: 1. Juni 2009
Beiträge: 18
|
Hallo zusammen, ich hab folgendes Problem: Ich habe ein Subnetz über einen Ubuntu Server auf dem Squid (für www) und eine IP-Tables Firewall laufen von meinem Hauptnetzwerk abgehängt. Sieht so aus:
Subnetz (192.168.10.0/24) → UbuntuRouter → Hauptnetz (192.168.2.0/24) → Fritz!Box → Internet www, ftp etc. funktionieren problemlos, wenn ich allerdings versuche Mails von meinem Webhoster im Internet (googlemail, web.de, etc.) abzuholen (egal ob per imap oder pop) bzw. mails zu versenden klappt das nicht - ich bekomme es einfach nicht hin, das eine Verbindung etabliert wird. Kann mir jemand dabei weiterhelfen wie ich in diesem Fall die iptables konfigurieren kann, damit dieses "Mailforwarding" auch machbar ist? Hab' schon bei Google gesucht, aber entweder ich hatte bisher noch nicht den richtigen Suchbegriff, oder ich hab's noch nicht so ganz verstanden wonach ich eigenltlich suchen muss 😉 Wäre super wenn mir jemand weiterhelfen könnte! lg, spooots
|
spooots
(Themenstarter)
Anmeldungsdatum: 1. Juni 2009
Beiträge: 18
|
ach ja, ich bin ein Linux/Server Neuling, also seid bitte nachsichtig mit mir - ich arbeite mich gerade erst in die Thematik ein... 😉
|
bodensee
Anmeldungsdatum: 4. November 2006
Beiträge: 1971
|
spooots schrieb: Ich habe ein Subnetz über einen Ubuntu Server auf dem Squid (für www) und eine IP-Tables Firewall laufen von meinem Hauptnetzwerk abgehängt. Sieht so aus:
Subnetz (192.168.10.0/24) → UbuntuRouter → Hauptnetz (192.168.2.0/24) → Fritz!Box → Internet
Zum Verständniss, der Ubuntu Server ist der UbuntuRouter oder wie soll man das verstehen?
Was befindet sich in Haupt- und Subnetz? www, ftp etc. funktionieren problemlos, wenn ich allerdings versuche Mails von meinem Webhoster im Internet (googlemail, web.de, etc.) abzuholen (egal ob per imap oder pop) bzw. mails zu versenden klappt das nicht - ich bekomme es einfach nicht hin, das eine Verbindung etabliert wird.
Von wo aus gesehen? Einem Client, einem Server und in oder aus welchem Netzbereich?
Kann mir jemand dabei weiterhelfen wie ich in diesem Fall die iptables konfigurieren kann, damit dieses "Mailforwarding" auch machbar ist?
Mailforwarding ist aber wieder etwas ganz anderes.
Gehr es Dir darum, dass Clients Mails abrufen oder steht irgendwo ein Mailserver oder was?
Hab' schon bei Google gesucht, aber entweder ich hatte bisher noch nicht den richtigen Suchbegriff, oder ich hab's noch nicht so ganz verstanden wonach ich eigenltlich suchen muss 😉
Scheint mir auch so 😉
Wäre super wenn mir jemand weiterhelfen könnte!
Wenn klar ist wo das problem überhaupt sitzt kann man schon helfen.
|
spooots
(Themenstarter)
Anmeldungsdatum: 1. Juni 2009
Beiträge: 18
|
Zum Verständniss, der Ubuntu Server ist der UbuntuRouter oder wie soll man das verstehen? Was befindet sich in Haupt- und Subnetz?
Hauptnetz beschreibt das Netz, dass direkt hinter der FritzBox hängt. Das Subnetz ist ein separates Netzwerk, das über den Ubuntu Server/Router eine Verbindung zum Internet herstellen können soll, wobei die Verbindungsrechte beschränkt werden - soweit funkionert das ja auch schon ganz gut.
Von wo aus gesehen? Einem Client, einem Server und in oder aus welchem Netzbereich?
→ einem Client, der vom Subnetz aus auf das Internet zugreift.
Mailforwarding ist aber wieder etwas ganz anderes. Gehr es Dir darum, dass Clients Mails abrufen oder steht irgendwo ein Mailserver oder was?
→ "Mailforwarding" trifft es vielleicht nicht 100%ig. Ich habe keinen Mailserver laufen sondern will direkt die E-Mails von googlemail, web.de, etc. per pop/imap abrufen und per smtp versenden - zum Beispiel mit Hilfe eines auf dem Subnetz-Client laufenden Thunderbird. Ich hoffe die Informationen helfen ein Stück weiter...
|
bodensee
Anmeldungsdatum: 4. November 2006
Beiträge: 1971
|
spooots schrieb: Ich habe keinen Mailserver laufen sondern will direkt die E-Mails von googlemail, web.de, etc. per pop/imap abrufen und per smtp versenden - zum Beispiel mit Hilfe eines auf dem Subnetz-Client laufenden Thunderbird.
Ich hoffe die Informationen helfen ein Stück weiter...
Jepp.
Jetzt sollte man nur noch wissen wie Du Mails abrufen und versenden möchtest, imap oder pop3? Nach welcher Anleitung hast Du ip-tables konfiguriert? Und poste mal bitte die Ausgabe von iptables -t filter -L
|
spooots
(Themenstarter)
Anmeldungsdatum: 1. Juni 2009
Beiträge: 18
|
bodensee schrieb: Jepp.
Jetzt sollte man nur noch wissen wie Du Mails abrufen und versenden möchtest, imap oder pop3? Nach welcher Anleitung hast Du ip-tables konfiguriert? Und poste mal bitte die Ausgabe von iptables -t filter -L
Abrufen der Mails sollte wie schon gesagt sowohl per imap (bevorzugt) als auch per pop3 gehen. Versenden läuft per smtp.
Die IP Tables habe ich (wie meinen ganzen Linux Server) anhand eines Buches konfiguriert (Linux-Server mit Debian GNU/Linux von Eric Amberg). post meiner aktuellen iptables ausgaben kann ich leider erst heute abend liefern.
|
bodensee
Anmeldungsdatum: 4. November 2006
Beiträge: 1971
|
spooots schrieb: Abrufen der Mails sollte wie schon gesagt sowohl per imap (bevorzugt) als auch per pop3 gehen. Versenden läuft per smtp.
Die IP Tables habe ich (wie meinen ganzen Linux Server) anhand eines Buches konfiguriert (Linux-Server mit Debian GNU/Linux von Eric Amberg).
post meiner aktuellen iptables ausgaben kann ich leider erst heute abend liefern.
Okay wenn es da ein Buch gibt, sollte ja beschrieben sein, wie Ports freigeschalten werden. Somit musst Du prüfen ob die Ports für pop3, imap und smtp offen sind und die dann ggf. öffnen.
Interessant wären falls es nicht funktionieren sollte die ausgegebene Fehlermeldung bzw. was in den Logs verzeichniet wird.
|
spooots
(Themenstarter)
Anmeldungsdatum: 1. Juni 2009
Beiträge: 18
|
Hier sind die gewünschten Ausgaben:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
MYDROP all -- anywhere anywhere state INVALID
MYACCEPT tcp -- anywhere anywhere tcp dpt:ssh
MYACCEPT icmp -- anywhere anywhere
MYACCEPT udp -- anywhere anywhere udp dpt:bootps
MYACCEPT tcp -- anywhere anywhere tcp dpt:3128
MYACCEPT udp -- anywhere anywhere udp dpt:domain
MYACCEPT tcp -- anywhere anywhere tcp dpt:domain
MYACCEPT tcp -- anywhere anywhere tcp dpt:www
MYACCEPT tcp -- anywhere anywhere tcp dpt:https
MYACCEPT tcp -- anywhere anywhere tcp dpt:ftp
MYACCEPT udp -- anywhere anywhere multiport dports netbios-ns,netbios-dgm
MYACCEPT tcp -- anywhere anywhere multiport dports loc-srv,netbios-ssn,microsoft-ds
MYACCEPT tcp -- anywhere anywhere tcp dpt:socks
LOG all -- anywhere anywhere LOG level warning prefix `FW-LAST-DROP: '
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
MYDROP all -- anywhere anywhere state INVALID
MYACCEPT icmp -- anywhere anywhere
MYACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:ftp state NEW
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535 state NEW
DROP all -- 192.168.2.0/24 anywhere
DROP all -- !192.168.10.0/24 anywhere
DROP all -- 127.0.0.0/8 anywhere
MYACCEPT udp -- anywhere anywhere multiport dports netbios-ns,netbios-dgm
MYACCEPT tcp -- anywhere anywhere multiport dports loc-srv,netbios-ssn,microsoft-ds
MYACCEPT tcp -- anywhere anywhere tcp spt:smtp
MYACCEPT tcp -- anywhere anywhere tcp dpt:imaps
MYACCEPT tcp -- anywhere anywhere tcp dpt:imaps
MYACCEPT tcp -- anywhere anywhere tcp dpt:submission
MYACCEPT tcp -- anywhere anywhere tcp dpt:submission
LOG all -- anywhere anywhere LOG level warning prefix `FW-LAST-DROP: '
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
MYACCEPT tcp -- anywhere anywhere tcp dpt:ssh
MYACCEPT icmp -- anywhere anywhere
MYACCEPT udp -- anywhere anywhere udp dpt:domain
MYACCEPT tcp -- anywhere anywhere tcp dpt:domain
MYACCEPT tcp -- anywhere anywhere tcp dpt:www
MYACCEPT tcp -- anywhere anywhere tcp dpt:https
MYACCEPT tcp -- anywhere anywhere tcp dpt:ftp
MYACCEPT udp -- anywhere anywhere multiport dports netbios-ns,netbios-dgm
MYACCEPT tcp -- anywhere anywhere multiport dports loc-srv,netbios-ssn,microsoft-ds
LOG all -- anywhere anywhere LOG level warning prefix `FW-LAST-DROP: '
Chain MYACCEPT (30 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning prefix `FW-ACCEPT: '
ACCEPT all -- anywhere anywhere
Chain MYDROP (2 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning prefix `FW-DROP: '
DROP all -- anywhere anywhere
In welchen logfiles kann ich das nachkontrollieren? Könntest Du mir ein Beispiel geben wie ich die Ports richtig freigebe?
Ich habe auch schon versucht alle Chains auf ACCEPT zu setzen, aber auch da gehen zwar www Anfragen und Pings problemlos durch, aber mein E-Mailclient bekommt keine Verbindung ?!?
|
spooots
(Themenstarter)
Anmeldungsdatum: 1. Juni 2009
Beiträge: 18
|
Hier noch der Vollständigkeit halber mein komplettes Firewallskript, vielleicht fällt Dir daran ja was auf...
Danke übrigens schonmal! #!/bin/bash
# ----------------------------------------------------------------------------------------
# - iptables firewallscript
# - Schedel A.
# - 24.06.2009
# ----------------------------------------------------------------------------------------
LOAD_FW=NETWORK
LOCATION=NEUSES
DEBUG=1
# check for firewall mode
if test "$1" = "open"; then
LOAD_FW=OPEN
fi
if test "$1" = "network"; then
LOAD_FW=NETWORK
fi
# check for location
if test "$2" = "neuses"; then
LOCATION=NEUSES
fi
if test "$2" = "pressig"; then
LOCATION=PRESSIG
fi
# -------------------------------------------------------
# global variables:
# -------------------------------------------------------
EXT_IFACE="eth0"
INT_IFACE="eth1"
INT_IP="192.168.10.1"
INT_NET="192.168.10.0/24"
if test $LOCATION = NEUSES; then
EXT_IP="192.168.2.100"
EXT_NET="192.168.2.0/24"
fi
if test $LOCATION = PRESSIG; then
EXT_IP="192.168.0.100"
EXT_NET="192.168.0.0/24"
fi
# -------------------------------------------------------
# -------------------------------------------------------
# global flags:
# -------------------------------------------------------
# use kernel security parameter
USE_KERNEL_PARAM=1
USE_KERNEL_SECURITY_PARAM=0
# use stateful inspection flag
USE_STATEFUL_INSPECTION=1
# use antispoofing flag
USE_ANTISPOOFING=1
# use personal settings
USE_PERSONAL_SETTINGS=1
# use network settings
USE_NETWORK_SETTINGS=0
# use windows network shares NETBIOS...
USE_NETBIOS=1
# internal clients may completely connect to external net
ALLOW_INETCOMMUNICATION=0
# enable nfs communication
USE_NFS_COMM=0
# enable email traffic
USE_EMAIL_TR=1
# -------------------------------------------------------
# debug output
if test $DEBUG = 1
then
echo "-----------------------------------------------------------------"
echo "global parameter:"
echo "-----------------------------------------------------------------"
echo "- LOAD_FW = $LOAD_FW"
echo "- USE_KERNEL_PARAM = $USE_KERNEL_PARAM"
echo "- USE_KERNEL_SECURITY_PARAM = $USE_KERNEL_SECURITY_PARAM"
echo "- USE_STATEFUL_INSPECTION = $USE_STATEFUL_INSPECTION"
echo "- USE_PERSONAL_SETTINGS = $USE_PERSONAL_SETTINGS"
echo "- USE_NETBIOS = $USE_NETBIOS"
echo "- ALLOW_INETCOMMUNICATION = $ALLOW_INETCOMMUNICATION"
echo "- USE_NFS_COMM = $USE_NFS_COMM"
echo "- USE_EMAIL_TR = $USE_EMAIL_TR"
echo "-----------------------------------------------------------------"
echo " external lan adapter:"
echo "-----------------------------------------------------------------"
echo "- external lan device: $EXT_IFACE"
echo "- external net : $EXT_NET"
echo "- external lan ip: $EXT_IP"
echo "-----------------------------------------------------------------"
echo "internal lan adapter:"
echo "-----------------------------------------------------------------"
echo "- internal lan device: $INT_IFACE"
echo "- internal lan ip: $INT_IP"
echo "- internal net: $INT_NET"
echo "-----------------------------------------------------------------"
fi
# -------------------------------------------------------
# load modules:
# -------------------------------------------------------
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
#modprobe ipt_MASQUERADE
# -------------------------------------------------------
echo "Initialize firewall..."
echo "- reset chains"
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -Z
if test $LOAD_FW = OPEN
then
echo "Open firewall..."
echo "- accept all chains"
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -Z
fi
if test $LOAD_FW = NETWORK
then
iptables -N MYDROP
iptables -N MYACCEPT
echo "initialize network firewall:"
echo "---------------------------------------------------"
if test $USE_KERNEL_PARAM = 1; then
echo "- set kernel parameter"
echo "- ip forwarding"
echo 1 > /proc/sys/net/ipv4/ip_forward
# echo "- dynamic ip addresses"
# echo 1 > /proc/sys/net/ipv4/ip_dynaddr
fi
if test $USE_KERNEL_SECURITY_PARAM = 1
then
echo "- use kernel security parameter"
for i in /proc/sys/net/ipv4/conf/* /{accept_source_route,accept_redirects,send_redirects};do
echo 0 >$i
done
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi
echo "- config own chains"
iptables -A MYDROP -j LOG --log-prefix "FW-DROP: "
iptables -A MYDROP -j DROP
iptables -A MYACCEPT -j LOG --log-prefix "FW-ACCEPT: "
iptables -A MYACCEPT -j ACCEPT
echo "- enable loopback communication"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
if test $USE_STATEFUL_INSPECTION = 1; then
echo "- enable stateful inspection"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j MYDROP
iptables -A FORWARD -m state --state INVALID -j MYDROP
fi
if test $USE_PERSONAL_SETTINGS = 1; then
echo "use personal settings"
echo "- enable SSH - personal"
iptables -A INPUT -p tcp --dport 22 -j MYACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j MYACCEPT
echo "- enable ICMP - personal"
iptables -A INPUT -p icmp -j MYACCEPT
iptables -A OUTPUT -p icmp -j MYACCEPT
iptables -A FORWARD -p icmp -j MYACCEPT
echo "- enable DHCP - personal"
iptables -A INPUT -p udp --dport 67 -j MYACCEPT
echo "- enable PROXY - personal"
iptables -A INPUT -p tcp --dport 3128 -j MYACCEPT
echo "- enable DNS - personal"
iptables -A INPUT -p udp --dport 53 -j MYACCEPT
iptables -A OUTPUT -p udp --dport 53 -j MYACCEPT
#iptables -A FORWARD -p udp --dport 53 -j MYACCEPT
iptables -A INPUT -p tcp --dport 53 -j MYACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j MYACCEPT
#iptables -A FORWARD -p tcp --dport 53 -j MYACCEPT
echo "- enable WWW - personal"
iptables -A INPUT -p tcp --dport 80 -j MYACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j MYACCEPT
iptables -A INPUT -p tcp --dport 443 -j MYACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j MYACCEPT
echo "- enable FTP forwarding - personal"
iptables -A INPUT -p tcp --dport 21 -j MYACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j MYACCEPT
#iptables -A FORWARD -p tcp --dport 21 -j MYACCEPT
# connection ftp:
HIGH_PORTS=1024:65535
iptables -A FORWARD -o $EXT_IFACE -p tcp --sport $HIGH_PORTS --dport 21 \
-m state --state NEW -j MYACCEPT
# passive ftp:
iptables -A FORWARD -o $EXT_IFACE -p tcp --sport $HIGH_PORTS --dport $HIGH_PORTS \
-m state --state NEW -j ACCEPT
else
USE_NETWORK_SETTINGS=1
fi
if test $USE_NETWORK_SETTINGS = 1; then
echo "- communication INTLAN <-> EXTLAN"
iptables -A FORWARD -i $INT_IFACE -s $INT_NET -o $EXT_IFACE -j MYACCEPT
iptables -A FORWARD -i $EXT_IFACE -s $EXT_NET -o $INT_IFACE -j MYACCEPT
fi
if test $USE_ANTISPOOFING = 1; then
echo "- configure antispoofing"
iptables -A FORWARD -s $EXT_NET -i $INT_IFACE -j DROP
iptables -A FORWARD -s ! $INT_NET -i $EXT_IFACE -j DROP
iptables -A FORWARD -s 127.0.0.0/8 -j DROP
fi
if test $USE_NETBIOS = 1; then
echo "- use netbios"
iptables -A INPUT -p udp -m multiport --destination-port 137,138 -j MYACCEPT
iptables -A INPUT -p tcp -m multiport --destination-port 135,139,445 -j MYACCEPT
iptables -A OUTPUT -p udp -m multiport --destination-port 137,138 -j MYACCEPT
iptables -A OUTPUT -p tcp -m multiport --destination-port 135,139,445 -j MYACCEPT
iptables -A FORWARD -p udp -m multiport --destination-port 137,138 -j MYACCEPT
iptables -A FORWARD -p tcp -m multiport --destination-port 135,139,445 -j MYACCEPT
else
echo "- block netbios"
iptables -A INPUT -p udp -m multiport --destination-port 137,138 -j DROP
iptables -A INPUT -p tcp -m multiport --destination-port 135,139,445 -j DROP
iptables -A FORWARD -p udp -m multiport --destination-port 137,138 -j DROP
iptables -A FORWARD -p tcp -m multiport --destination-port 135,139,445 -j DROP
fi
if test $ALLOW_INETCOMMUNICATION = 1; then
echo "- allow global forwarding INT->EXT"
iptables -A FORWARD -i $INT_IFACE -s $EXT_NET -o $EXT_IFACE -j MYACCEPT
fi
# enabel nfs communication
if test $USE_NFS_COMM = 1; then
iptables -A INPUT -p tcp --dport 111 -j MYACCEPT
iptables -A INPUT -p tcp --dport 834 -j MYACCEPT
iptables -A OUTPUT -p tcp --sport 111 -j MYACCEPT
iptables -A OUTPUT -p tcp --sport 834 -j MYACCEPT
fi
# try enabling email traffic (thunderbird, outlook, e.g.)
if test $USE_EMAIL_TR = 1; then
# smtp
echo "- enable smtp"
#iptables -A INPUT -i $INT_IFACE -p tcp --sport 25 -j MYACCEPT
iptables -A FORWARD -i $INT_IFACE -o $EXT_IFACE -p tcp --sport 25 -j MYACCEPT
#iptables -A FORWARD -i $EXT_IFACE -o $INT_IFACE -p tcp --sport 25 -j MYACCEPT
#iptables -A OUTPUT -o $EXT_IFACE -p tcp --sport 25 -j MYACCEPT
# imap-ssl
echo "- enable imap-ssl"
#iptables -A INPUT -i $INT_IFACE -p tcp --dport 993 -j MYACCEPT
iptables -A FORWARD -i $INT_IFACE -o $EXT_IFACE -p tcp --dport 993 -j MYACCEPT
iptables -A FORWARD -i $EXT_IFACE -o $INT_IFACE -p tcp --dport 993 -j MYACCEPT
#iptables -A OUTPUT -o $EXT_IFACE -p tcp --sport 993 -j MYACCEPT
# googlemail smtp
echo "- enable google smtp"
iptables -A FORWARD -i $INT_IFACE -o $EXT_IFACE -p tcp --dport 587 -j MYACCEPT
iptables -A FORWARD -i $EXT_IFACE -o $INT_IFACE -p tcp --dport 587 -j MYACCEPT
fi
# testrange
iptables -A INPUT -i $INT_IFACE -p tcp --dport 1080 -j MYACCEPT
# log every other packet
iptables -A INPUT -j LOG --log-prefix "FW-LAST-DROP: "
iptables -A OUTPUT -j LOG --log-prefix "FW-LAST-DROP: "
iptables -A FORWARD -j LOG --log-prefix "FW-LAST-DROP: "
echo "- "
echo "--------------------------------------"
echo "--- network firewall initialized ---"
echo "--------------------------------------"
fi
exit 0
|
bodensee
Anmeldungsdatum: 4. November 2006
Beiträge: 1971
|
spooots schrieb: Hier noch der Vollständigkeit halber mein komplettes Firewallskript, vielleicht fällt Dir daran ja was auf...
Ja! Und zwar steht da ja nirgends etwas von IMAP, SMTP oder POP3 😉 Nun ist die Frage Du willst ja nur routen, nicht an dem Server selbst empfangen? Habe ich das so richtig verstanden?
Ich habe Dir mal folgenden teil Deines Skripts herausgenommen:
> echo "- enable FTP forwarding - personal"
> iptables -A INPUT -p tcp --dport 21 -j MYACCEPT
> iptables -A OUTPUT -p tcp --dport 21 -j MYACCEPT
> #iptables -A FORWARD -p tcp --dport 21 -j MYACCEPT
Am Beispiel FTP sieht man ja wie es funktioniert.
Aufruf der Regel mit iptables. -A bedeutet, dass die regel für Chain gültig ist. INPUT/OUTPUT/FORWARD sprechen ja für sich, also Packete rein, raus oder geroutet. -p gibt an welches Protokoll, hier also tcp, --dport bedeutet, dass das Packet nur geprüft wird, wenn es AN die betreffende Portnummer gesand wird, die Zahl ist die Portnummer und -j ist die Action - in diesem Fall wird es zugelassen. Du willst also lediglich routing betreiben, so bedeutet das, dass Du "nur" FORWARD benötigst. Die Portnummern sind 25 für smtp, 110 für pop3 und 143 für imap. Was jetzt noch dazu kommt ist, dass Du ja nicht nur an diese Ports sendest, sondern auch von diesen Ports, also kommt noch --sport hinzu. Das heisst, dass Du also für jeden Port zwei Regeln definieren musst 😉 Wenn Du auf der Konsole mit root rechten den entsprechenden iptables befehl absetzt, kannst Du testen ob es funktioniert. Aber Achtung, diese Einträge sind flüchtig. Nach einem reboot sind sie wieder weg. Trag es also in das besagte skript ein. Dass Du es vorber per cp -p skript.bak sicherst versteht sich von selbst 😉 Achaj noch etwas, mit iptables2 wäre Dir auch geholfen worden 😉
|
spooots
(Themenstarter)
Anmeldungsdatum: 1. Juni 2009
Beiträge: 18
|
Hi, danke - ich werd's versuchen. Sind die Regeln in meinem Skript unter USE_EMAIL_TR soweit i.O. und ausbaufähig, oder sollte ich die dann doch lieber erstmal rausnehmen und neu aufbauen?
|
bodensee
Anmeldungsdatum: 4. November 2006
Beiträge: 1971
|
spooots schrieb: Hi, danke - ich werd's versuchen. Sind die Regeln in meinem Skript unter USE_EMAIL_TR soweit i.O. und ausbaufähig, oder sollte ich die dann doch lieber erstmal rausnehmen und neu aufbauen?
Du hast jeweils nur --sport verwendet. Du musst ja bedenken dass der Server sowohl sendet als auch empfängt.
|
spooots
(Themenstarter)
Anmeldungsdatum: 1. Juni 2009
Beiträge: 18
|
Hi, hab' mein Firewall Skript jetzt entsprechend Deiner Einwände ergänzt und versucht pauschal FORWARD, INPUT und OUTPUT für alle entsprechenden Pakete aufzumachen: # smtp
echo "- enable smtp"
iptables -A INPUT -i $INT_IFACE -p tcp --sport 25 --dport 25 -j MYACCEPT
iptables -A FORWARD -i $INT_IFACE -o $EXT_IFACE -p tcp --sport 25 --dport 25 -j MYACCEPT
iptables -A FORWARD -i $EXT_IFACE -o $INT_IFACE -p tcp --sport 25 --dport 25 -j MYACCEPT
iptables -A OUTPUT -o $EXT_IFACE -p tcp --sport 25 --dport 25 -j MYACCEPT
# imap-ssl
echo "- enable imap-ssl"
iptables -A INPUT -i $INT_IFACE -p tcp --sport 993 --dport 993 -j MYACCEPT
iptables -A FORWARD -i $INT_IFACE -o $EXT_IFACE -p tcp --sport 993 --dport 993 -j MYACCEPT
iptables -A FORWARD -i $EXT_IFACE -o $INT_IFACE -p tcp --sport 993 --dport 993 -j MYACCEPT
iptables -A OUTPUT -o $EXT_IFACE -p tcp --sport 993 --dport 993 -j MYACCEPT
# googlemail smtp
echo "- enable google smtp"
iptables -A INPUT -i $INT_IFACE -p tcp --sport 587 --dport 587 -j MYACCEPT
iptables -A FORWARD -i $INT_IFACE -o $EXT_IFACE -p tcp --sport 587 --dport 587 -j MYACCEPT
iptables -A FORWARD -i $EXT_IFACE -o $INT_IFACE -p tcp --sport 587 --dport 587 -j MYACCEPT
iptables -A OUTPUT -o $EXT_IFACE -p tcp --sport 587 --dport 587 -j MYACCEPT
fi Ich hoffe mal ich habe alles richtig verstanden... Leider kann ich immer noch keine IMAP-Verbindung zu googlemail oder web.de aufbauen. Kann ich irgendwie nachvollziehen wo die Pakete versacken - um mich somit vielleicht an mein Problem heranzutasten? Schöne Grüße, Andi
|
bodensee
Anmeldungsdatum: 4. November 2006
Beiträge: 1971
|
Was lautet die Fehlermeldung?
|
spooots
(Themenstarter)
Anmeldungsdatum: 1. Juni 2009
Beiträge: 18
|
Hi!... hat etwas länger gedauert 😉 Die Fehlermeldung lautet: "Konnte nicht mit dem Server verbinden" (Thunderbird auf Googlemail per imap) Ist es die Fehlermeldung oder meinst Du eine andere?
|