Hi@all,

ich bin dabei unsere Firewall zu überarbeiten dabei bin ich auf ein Problem gestossen. Damit wir Mails (fast) in Echtzeit bekommen haben wir bei unserem Provider eine Mailweiterleitung eingerichtet und bei DynDNS einen MX-Eintrag vorgenommen. Hierbei handelt es sich um den ersten POP3-ACCOUNT der in meinem Skript die Variable 'EXT_POP_1' hat

Zweimal pro Tag werrden dann doch die Mails bei den Providern abgeholt. Zunächst beim ersten POP-ACCOUNT damit wenn DynDNS nicht erreichbar ist die Mails trotzdem ankommen. Zum zweiten bei einem weiteren POP-ACCOUNT welcherin meinem Skript als 'EXT_POP_2' benannt ist.

Damit das abholen klappt benutze ich doch:

# POP3
iptables -A FORWARD -o $EXT -p TCP --sport $P_HIGH -d $EXT_POP_1 --dport pop3 -j ACCEPT
iptables -A FORWARD -o $EXT -p TCP --sport $P_HIGH -d $EXT_POP_2 --dport pop3 -j ACCEPT

Was muss ich nun Eintragen damit auch von extern geforwardet wird?

iptables -A FORWARD -o $INT -p TCP --sport $P_HIGH -d $EXT_POP_2 --dport pop3 -j ACCEPT

Die verwendete Variabeln:

P_HIGH=1024:65535
P_SSH=1000:1023
INT=eth0
EXT=ppp0

INT_NS=192.168.x.y
EXT_NS=194.25.2.129

INT_SMTP=192.168.x.y
EXT_SMTP=193.178.169.56
EXT_POP_1=193.178.169.53
EXT_POP_2=194.25.134.25
LAN=192.168.x.0/24
WORLD=0.0.0.0/32

Gruss Pixel

Was muss ich nun Eintragen damit auch von extern geforwardet wird?

meinst du damit, das pakete die zu einer bestehenden verbindung gehören, auch durch gelassen werden?

#---------------------------------------------------------------------
# ausgehende Pakete bei bereits aufgebauter Verbindung erlauben
#---------------------------------------------------------------------


$ipt -A FORWARD -i $int -o $ext -m state --state ESTABLISHED,RELATED
-j ACCEPT

#---------------------------------------------------------------------
# Rückkanal: eingehende Paket zu einer bestehenden Verbindung
#---------------------------------------------------------------------


$ipt -A FORWARD -i $ext -o $int -m state --state ESTABLISHED,RELATED
-j ACCEPT


Gruß HL

Du suchst den smtp-Port.

HTH

Hi@all,

wenn die Pakete vom externen Mailserver gesendet werden gehören sie doch nicht zu einer bestehenden Verbindung, oder?

@Jinto,

was meinst Du damit ich würde den SMTP-Port suchen???

Gruss Pixel

Mails die direkt durch den Mailserver zugestellt wird läuft nicht über POP, sondern über SMTP.

@pixel


wenn die Pakete vom externen Mailserver gesendet werden gehören sie doch nicht zu einer bestehenden Verbindung, oder?

du hast im ersten posting geschrieben, das die mails geholt werden und das macht pop, oder bin ich jetzt blöd? :eek:

wenn der mailserver *aktiv* die mails an deine kisten verschickt, stimmen meine regeln natürlich nicht.


ps: hat Jinto mal wieder den richtigen riecher gehabt ;)


Gruß HL

Hi@all,

jo da habe ich mich evtl. etwas undeutlich ausgedrückt. Der externe Mailserver beim Provider sendet die Mails aktiv an unseren Server.

Das mit dem holen ist so. Wenn DynDNS ausfällt ist unser Server ja nicht erreichbar für den externen Mailserver. Deshalb hole ich zweimal am Tag die Mails trotz allem ab.

Gruss Pixel

hi

nimm mal folgende regel für smtp

iptables -A FORWARD -i $ext -o $int -p TCP --sport 25 -d xxx.xxx.x.x -m state --state NEW,ESTABLISHED -j ACCEPT

und für pop folgende

iptables -A FORWARD -i $int -o $ext -p TCP --sport $p_high -d xxx.xxx.xx.x --dport 110 -m state --state NEW -j ACCEPT


die ip vom server und die interfaces noch entsprechend einsetzen.



jo da habe ich mich evtl. etwas undeutlich ausgedrückt.

komisch nur, das Jinto es verstanden hat :D


Gruß HL

1. es muss --dport heissen (SMTP-Server erwartet die Mails auf Port 25)
2. werden dafür noch DNAT Regeln für die Weiterleitung benötigt.

Tipp verwende Harrys iptables-Generator.

@Jinto


1. es muss --dport heissen (SMTP-Server erwartet die Mails auf Port 25)

ich denke der server( der vom provider aus aktiv sendet) steht ausserhalb von pixels net, also sourceport 25. oder hab ich das immer noch nicht gerafft ;)



2. werden dafür noch DNAT Regeln für die Weiterleitung benötigt.

das ist wohl war.


Gruß HL

OK, ich versuch mal Pixels vorhaben zu erklären:

Er hat einen eigenen Mailserver. *punkt* :D
Zusätzlich holt er Mails 2mal am tag mittels POP ab.

PS: diese Erklärung entspricht nicht wirklich Pixels Netz, gibt jedoch notwendigen Informationen um die "richtigen" Regeln für das Netz bauen zu können :D

jo immer schön langsam zum mitmeißeln :D

wie interpretierst du denn folgenden satz?


Der externe Mailserver beim Provider sendet die Mails aktiv an unseren Server.

also ich so, das vom provider (port 25) die mails aktiv an pixels net verschickt werden.


Gruß HL

Mailser zu Mailserver Kommunikation entspricht ganz normalem SMTP Verkehr (highport -> 25). Mails werden nicht zwangsläufig dem entsprechenden Mailserver direkt zugrstellt, sondern verhalten sich in der Zustellung eher einem IP-Paket mit dem dazugehörigen Routing (vereinfacht ausgedrückt).

HTH

Mailser zu Mailserver Kommunikation entspricht ganz normalem SMTP Verkehr (highport -> 25)

ah, das wußte ich nicht. ich nahm an der verkehr läuft über 25 <--> 25.

thx für erleuchtung :)


Gruß HL