iptables keine Verbindung zu externem POP3 Server

[brauni]

Hallo,

Mein Netzwerk sieht so aus:
INTERNET ===== Strato-Server ======= Firewall =========Client

die Verbindung zwischen Firewall und Strato Server ist eine openvpn verbindung.
leider habe ich vom Client aus keine Verbindung ins Internet zu einem POP3 oder IMAP Server. Surfen im Internet funktioniert jedoch.

keine Ahnung woran es liegen könnte,

hier die iptables meines Strato-Servers;

Code:

modprobe ipt_MASQUERADE
modprobe ip_tables
modprobe iptable_nat
modprobe ip_gre

## iptables zurücksetzen:

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

iptables -F
iptables -t mangle -F
iptables -t nat -F

iptables -X
iptables -t mangle -X
iptables -t nat -X


##MASQUERADE der Interfaces
iptables -t nat -F POSTROUTING
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 11.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/20 -j MASQUERADE


###DMZ zu internen Firwall (außer den follgenden Ports)
iptables -t nat -A PREROUTING -p tcp -m multiport --dport ! 80,443,8443,21,22,1723,30000:50000 -j DNAT --to 11.0.0.12
iptables -t nat -A PREROUTING -p udp -m multiport --dport ! 1194,1195 -j DNAT --to 11.0.0.12


### PP2P Windows VPN Routing #####
vpnserver="11.0.0.12"
iptables -N pptp
iptables -A pptp -p tcp --destination-port 1723 --dst $vpnserver -j ACCEPT
iptables -A pptp -p 47 --dst $vpnserver -j ACCEPT
iptables -I FORWARD -j pptp
iptables -t nat -N pptp
iptables -t nat -A pptp -p tcp --dport 1723 -j DNAT --to $vpnserver:1723
iptables -t nat -A pptp -p 47 -j DNAT --to $vpnserver
iptables -t nat -A PREROUTING -j pptp

weiß jemand wieso ich keine Verbindung zu IMAP oder POP3 Server im Internet habe ?????
auf dem Client ist keine Firewall installiert, durch iptables ist alles offen.


gruß
brauni

[oziris]

Ich habe nur oberflächlich geguckt (weil keine Zeit), aber ich sehe da eine Port-Liste ("... 80,443,8443,21,22,..."), die mir schwer nach Internet-Nutzung aussieht, aber da sind die Ports für POP3 wohl nicht dabei:

Code:

$ grep -Fi pop3 /etc/services 
pop3            110/tcp         pop-3           # Post Office Protocol - Version 3
pop3            110/udp         pop-3
pop3s           995/tcp                         # pop3 protocol over TLS/SSL
pop3s           995/udp

Vielleicht müssen die da nur dazu...

[brauni]

Aha, das Grenzt die Lösung schon etwas ein, wenn ich ihn hinzufüge funktioniert es, jedoch wird der Port dann icht mehr an meine Firewall gesendet, sondern verbleibt auf dem server. Kann ich den Regeln:

iptables -t nat -A PREROUTING -p tcp -m multiport --dport ! 80,443,8443,21,22,1723,30000:50000 -j DNAT --to 11.0.0.12
iptables -t nat -A PREROUTING -p udp -m multiport --dport ! 1194,1195 -j DNAT --to 11.0.0.12

irgendwie hinzufügen das es nur von einem bestimmten Interface von außen nach innen nur wirkung hat ?

[brauni]

hat sich erledigt.
Problem ist gelöst, musste noch ein Interface zufügen:

iptables -t nat -A PREROUTING -p tcp -m multiport -i eth0 --dport ! 80,443,8443,21,22,1723,30000:50000 -j DNAT --to 11.0.0.12
iptables -t nat -A PREROUTING -p udp -m multiport -i eth0 --dport ! 1194,1195 -j DNAT --to 11.0.0.12

merci !