Skocz do zawartości
Zamknięcie Forum PC LAB

Szanowny Użytkowniku,

Informujemy, że za 30 dni tj. 30 listopada 2024 r. serwis internetowy Forum PC LAB zostanie zamknięty.

Administrator Serwisu Forum PC LAB - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie: wypowiada całość usług Serwisu Forum PC LAB z zachowaniem miesięcznego okresu wypowiedzenia.

Administrator Serwisu Forum PC LAB informuje, że:

  1. Z dniem 29 listopada 2024 r. zakończy się świadczenie wszystkich usług Serwisu Forum PC LAB. Ważną przyczyną uzasadniającą wypowiedzenie jest zamknięcie Serwisu Forum PC LAB
  2. Dotychczas zamowione przez Użytkownika usługi Serwisu Forum PC LAB będą świadczone w okresie wypowiedzenia tj. do dnia 29 listopada 2024 r.
  3. Po ogłoszeniu zamknięcia Serwisu Forum od dnia 30 października 2024 r. zakładanie nowych kont w serwisie Forum PC LAB nie będzie możliwe
  4. Wraz z zamknięciem Serwisu Forum PC LAB, tj. dnia 29 listopada 2024 r. nie będzie już dostępny katalog treści Forum PC LAB. Do tego czasu Użytkownicy Forum PC LAB mają dostęp do swoich treści w zakładce "Profil", gdzie mają możliwość ich skopiowania lub archiwizowania w formie screenshotów.
  5. Administrator danych osobowych Użytkowników - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie zapewnia realizację praw podmiotów danych osobowych przez cały okres świadczenia usług Serwisu Forum PC LAB. Szczegółowe informacje znajdziesz w Polityce Prywatności

Administrator informuje, iż wraz z zamknięciem Serwisu Forum PC LAB, dane osobowe Użytkowników Serwisu Forum PC LAB zostaną trwale usunięte ze względu na brak podstawy ich dalszego przetwarzania. Proces trwałego usuwania danych z kopii zapasowych może przekroczyć termin zamknięcia Forum PC LAB o kilka miesięcy. Wyjątek może stanowić przetwarzanie danych użytkownika do czasu zakończenia toczących się postepowań.

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

m4jq

exim i firewall

dodany przez m4jq, w Linux

Rekomendowane odpowiedzi

m4jq    2

m4jq
Napisano

po raz kolejny próbuję odpalić firewall na serwerze pocztowym. niestety pomimo różnej konfiguracji część maili przy włączonym firewallu nie wychodzi. (zdarza się, że czasem uda się go wysłać jeśli często próbuję wymusić wysyłkę). przy wyłączonym firewallu działa ok.

 

w logach exima mam komunikat "1R8rgE-00051s-9W == *@* R=dnslookup T=remote_smtp defer (110): Connection timed out: SMTP timeout while connected to mx4.bund.de [77.87.228.*] after sending data block (1449582 bytes written)"

 

konfiguracja iptables

 

Chain INPUT (policy DROP)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            LOG level info prefix `ferm firewall input:'
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere            udp dpt:isakmp
ACCEPT     esp  --  anywhere             anywhere
ACCEPT     ah   --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssmtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  192.168.0.50         anywhere            tcp dpt:munin

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            LOG level info prefix `ferm firewall output:'
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

 

dołączam zrzut z tcpdump oraz z wiresharka (dla różnych IP)

 

http://naforum.zapodaj.net/247735207450.png.html

 

gdzieś wyczytałem, że trzeba zmniejszyć MTU ale nie pomogło. może podsuniecie jakiś pomysł gdzie szukać rozwiązania problemu bo mi się już skończyły. . może jeszcze coś blokuję ale nie wiem co...

shorewallon.txt

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

januzi    24

januzi
Napisano

poprawnie wysyłają się gdy ACCEPT jest przy INPUT czy przy FORWARD ?

i wrzuć regułki z INPUT pokazane przez iptables-save, będzie czytelniejsze

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

m4jq    2

m4jq
Napisano 

# Generated by iptables-save v1.4.2 on Wed Sep 28 15:15:56 2011
*raw
:PREROUTING ACCEPT [510:479299]
:OUTPUT ACCEPT [225:389953]
COMMIT
# Completed on Wed Sep 28 15:15:56 2011
# Generated by iptables-save v1.4.2 on Wed Sep 28 15:15:56 2011
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [1:72]
:OUTPUT ACCEPT [1:72]
COMMIT
# Completed on Wed Sep 28 15:15:56 2011
# Generated by iptables-save v1.4.2 on Wed Sep 28 15:15:56 2011
*mangle
:PREROUTING ACCEPT [517:489099]
:INPUT ACCEPT [517:489099]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [230:390433]
:POSTROUTING ACCEPT [230:390433]
COMMIT
# Completed on Wed Sep 28 15:15:56 2011
# Generated by iptables-save v1.4.2 on Wed Sep 28 15:15:56 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1:72]
-A INPUT -j LOG --log-prefix "ferm firewall input:" --log-level 6
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s 192.168.0.50/32 -p tcp -m tcp --dport 4949 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j LOG --log-prefix "ferm firewall output:" --log-level 6
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Sep 28 15:15:56 2011

 

ogólnie na część się wysyła, tylko na np. wp, onet czy gmail nie chce ale wysyłają się przy wyłączonym firewallu.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

januzi    24

januzi
Napisano

hmmm, zobaczmy

 

iptables -A INPUT -p tcp -m state –state NEW,ESTABLISHED –dport 25 -j ACCEPT

iptables -A FORWARD -p tcp -m state –state ESTABLISHED,RELATED –sport 25 -j ACCEPT

iptables -A INPUT -p tcp –dport 53 -j ACCEPT

iptables -A INPUT -p udp –dport 53 -j ACCEPT

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

m4jq    2

m4jq
Napisano

niestety pomimo dodania tych reguł dalej występuje ten sam problem. zresztą nie wydaje mi się, żeby problemem był ruch na porcie smtp. prędzej coś z flagami tcp ale przecież pakiety icmp mam przepuszczone. exim nawiązuje połączenie i tylko przy wysyłaniu danych jest timeout (zatrzymuje sie na writing message and terminating). z wiresharka wynika, że próbuje retransmitować pakiety z danymi więc tak jakby nie otrzymywał potwierdzenia, że zostały poprawnie dostarczone. (sorry za lamerski język ale specem od sieci nie jestem ;) )

 

delivering 1OOQCi-0001fF-4F
R: dnslookup for *@wm.pl
T: remote_smtp for *@wm.pl
Connecting to poczta2.wm.pl [212.160.105.210]:25 ... connected
 SMTP<< 220 *******************************************************************************
 SMTP>> EHLO mail.pl
 SMTP<< 250-thor.wm.pl Hello ip-*.static.crowley.pl [*], pleased to meet you
        250-ENHANCEDSTATUSCODES
        250-PIPELINING
        250-8BITMIME
        250-SIZE 55248520
        250-DSN
        250-ETRN
        250-AUTH LOGIN PLAIN GSSAPI DIGEST-MD5 CRAM-MD5
        250-XXXXXXXXA
        250 XXXB
 SMTP>> MAIL FROM:<*@mail.pl> SIZE=149730
 SMTP>> RCPT TO:<*@wm.pl>
 SMTP>> DATA
 SMTP<< 250 2.1.0 <*@mail.pl>... Sender ok
 SMTP<< 250 2.1.5 <*@wm.pl>... Recipient ok
 SMTP<< 354 Enter mail, end with "." on a line by itself
 SMTP>> writing message and terminating "."
LOG: MAIN
 SMTP timeout while connected to poczta2.wm.pl [212.160.105.210] after sending data block (8189 bytes written): Connection timed out
LOG: MAIN
 == *@wm.pl R=dnslookup T=remote_smtp defer (110): Connection timed out: SMTP timeout while connected to poczta2.wm.pl [212.160.105.210] after sending data block (8189 bytes written)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

GreDi    0

GreDi
Napisano

Coś przegapiamy, zrób tak.

 

najpierw

dmesg -c

 

Następnie, uruchom Twojego firewalla i spróbuj wysłać maila.

Jak trafisz na problem to:

dmesg | grep <IP_servera_SMTP>

 

czyli dla powyższego przypadku

dmesg | grep 212.160.105.210

 

I wklej wynik, co tam tam wyszło.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

m4jq    2

m4jq
Napisano

ok, wynik w załączniku. nie doczekałem się końca wysyłania maila ze względy na dość wysoki timeout. po przerwaniu i wyłączeniu fw udało się wysłać bez problemu.

fwtest.txt

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

GreDi    0

GreDi
Napisano

Dopiero teraz zobaczyłem, że logujesz wszystko.

To trochę słabe podejście, lepiej logować tylko to co zostanie zablokowane.

 

Dodatkowo skoro już używasz stanów... to na portach puszczaj tylko pakiety ze stanem NEW. Related i Established będą wpadać w powyższą regułę.

 

Załaduj takie coś.

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1:72]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --st NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m state --st NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -m state --st NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --st NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --st NEW -j ACCEPT
-A INPUT -s 192.168.0.50/32 -p tcp -m tcp --dport 4949 -m state --st NEW -j ACCEPT
-A INPUT -j LOG --log-prefix "ferm firewall input:" --log-level 6
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j LOG --log-prefix "ferm firewall output:" --log-level 6
COMMIT

 

I ponownie dmesg -c, wyślij maila i wygrepuj z dmesg'a co się zalogowało i wklej tutaj.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

m4jq    2

m4jq
Napisano

po zmianie ustawień, na takie jak podałeś, przy mailu, który nie wychodzi nic nie loguje dla IP na który był wysyłany mail. po wyłączeniu firewalla wysłał się natychmiast.

 

zastanawiam się czy znaczenie może mieć, że serwer stoi w DMZcie na sprzętowym firewallu Cisco? bo już nic innego nie przychodzi mi do głowy.

 

 

ps. na PIXie mam tylko, że nawiązano połączenie i je zakończono czyli też nic nie blokuje:

 

ps2. w sumie pogadam z osobą odpowiedzialną za PIXa żeby zamiast stawiać serwery w DMZcie przekierował tylko wymagane porty bo cierpliwość mi się kończy :)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...