LINUX.ORG.RU
ФорумAdmin

Sendmail & firewall


0

0

Имеется: RH 6.2, ее стандатрные firewall и sendmail. На файрволе кроме прочих правил разрешен проход пакетов на 25 порт, но почта не проходит. Убираю все правила - ходит.
Чего может не хватать sendmail? Может для него еще какой порт нужно открыть?

wbr Григорий Шаргин.

anonymous

и что за стандартные правила такие?????? поведай!

logrus
()

Ну загряни|покажи сдесь в /var/log/(messages|maillog) там наверное сказано в чем беда
а ваще для сендмыла обратная зона нужна
см доступность DNS на данном хосте

Pilot
()

Мда а правила сюда кидайте !
Я так думаю почта к вам то приходит а вот от вас неуходит так ?

Aleks_IZA
()

Простите, а как именно вы удаляете правила?

anonymous
()
Ответ на: комментарий от Aleks_IZA

Алекс, простите, вот у меня именно такая проблема - почта приходит но не уходид ПОМОГИТЕ!!!! ЧТО ДЕЛАТЬ!!!! Мари

anonymous
()

to lorgus: Говорил я о стандартном ПО а не о его настройках.
Под "убираю все правила" подразумевается разрешение пропускать через файрвол все входяшие и исходящие пакеты.

to Pilot: в логах относительно этого никаких записей нет. DNS на этой машине работает как часики со всеми прямыми и обратными зонами.

to Aleks lZA: правила просты - разрешен проход пакетов на порты 20, 21, 23, 25, 53, 80, 110, 1023-65535, ограничение накладывается только на порт назначения и ни на что больше. На все остальные порты пакеты прибиваются.
Отправка работает, но по скольку сервак нужен только для приема почты, поэтому доставка куда-либо убита на корню.

anonymous
()

Я же просил правила в студию ничего непонимаю :-(

Вы уверенны что у вас 25 порт открыт ????
Для приема почты достаточно 25 порта и все ну и чоб ваш сендиаил
мог немного порезолвить .

Aleks_IZA
()

to Aleks lZA:
привожу правило, явно открывающее 25 порт.
ipchains -A input -i sl0 -p tcp -d aaa.bbb.ccc.ddd --destination-port 25 -j ACCEPT
Этого достаточно?
За DNS я ручаюсь, работает.

WBR, Григорий Шаргин.

anonymous
()

не плохо было бы ! взглянуть на полный лист правил!!
и найти ошибку,а не гонять тут из пустого в пор....

logrus
()

to lorgus: правила просты до безобразия: та сторока, которую я привел для 25 порта, повторяется 8 раз и единственное что в ней меняется - номера портов. Номера открытых портов приведены выше. Output не фильтруется. Дефолтовые полиси: input: deny output: accept forward: reject Проблема в input, так как только изменения входных правил приводит к неработоспособности. wbr, Григорий Шаргин.

anonymous
()

Блин!! отобрази тут свой скрипт! правил!!!! если они такие простые чтоЖ они у тебя не работают ! 1. дабавь в конце строки правила флаг -l и смотри в логе! вместо input: DENY !! помести input: REJECT ошибку посмотришь, а то дени у тебя отрубает icmp!! 2.дабавь ipchains -A input -p all -i sl0 -j ACCEPT -l

logrus
()

Поглядел сегодня, как работает отправка на провайдерской стороне:
соединение устанавливается, helo, mail from, rcpt to проходят нормльно, но после команды data как раз и приходит тот тот таинственный медный таз.

to Aleks lZA & lorgus:
# icmp
ipchains -A input -i sl0 -p icmp -d "aaa.bbb.ccc.0/255.255.255.0" -j ACCEPT
# ftp, telnet, smtp
ipchains -A input -i sl0 -p tcp -d aaa.bbb.ccc.ddd --destination-port 20:25 -j ACCEPT
# DNS
ipchains -A input -i sl0 -p tcp -d aaa.bbb.ccc.ddd --destination-port 53 -j ACCEPT
ipchains -A input -i sl0 -p udp -d aaa.bbb.ccc.ddd --destination-port 53 -j ACCEPT
# apache
ipchains -A input -i sl0 -p tcp -d aaa.bbb.ccc.ddd --destination-port 80 -j ACCEPT
# pop-3
ipchains -A input -i sl0 -p tcp -d aaa.bbb.ccc.ddd --destination-port 110 -j ACCEPT
# general ports
ipchains -A input -i sl0 -p tcp -d aaa.bbb.ccc.ddd --destination-port 1023:65535 -j ACCEPT

Спасибо за идею с reject, опробую.

anonymous
()

Слуш !! а зачем тебе --destination-port !!!
можно проще !
слуш а у тебя lo открыт?
ipchains -A input -i sl0 -p tcp -s XXX.XXX.XXX.XXX -d aaa.bbb.ccc.ddd 25 -j ACCEPT такая схема разве не работает ?

logrus
()

to lorgus:
lo открыт, иначе бы я огреб гораздо большие неприятности, чем такая глючная работа сендмыла.
-s наверное стоит выкинуть, черт его знает, откуда писать прийдется. а на счет использования --destination-port - есть ли принципиальные отличия от -d aaa.bbb.ccc.ddd port?

WBR, Григорий Шаргин.

anonymous
()

попробуйте в sendmail ident отключить
ХМ а вообще забавно !
Прийду в понедельник на работу попробую ваши правила просто
забавно :-)

Aleks_IZA
()

Да и немешало-бы UDP по портам с 1023 ходить разрешеить
а то DNS то по UDP все опрашивает

Aleks_IZA
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.