No he visto todo tu script pero unas sugerencias: El puerto del servidor de entrada de tu mail server esta debidamente nateada hacia la ip interna de este ? También debes enmascarar la salida.
Prueba con un telnet desde afuera si esta respondiendo tu servidor de correo. Tu ip publica tiene registro ptr?(resolución inversa) El oct 31, 2014 12:41 PM, "System Support" <[email protected]> escribió: > > Estimados Amigos, > Queria hacerles una consulta ya que tengo un firewall debian con 2 > tarjetas de red > eth0 - 201.122.91.100/29 ( ip publica de mi proveedor, esta interfaz > tiene como gateway 201.122.91.99 y dns configurado 200.48.0.37 200.48.0.38 > de unired telefonica) > eth1 - 192.168.10.1 (Puerta de Enlace de la lan para que puedan salir a > internet los usuarios) > Este firewall tambien funciona como dns local y proxy squid funciona y > bloquea las redes sociales y otras paginas que la empresa no quieren que > los usuarios de la red lan puedan acceder, el problema pasa con mi servidor > de correos que es un Centos con cyrus ya que cuando pongo a funcionar el > firewall solo puedo enviar correo pero no puedo recibir a pesar de que me > responden lo que yo les envio desde mi lan a algunas cuentas de gmail, pero > localmente si envio y recibo. > Este servidor de correos esta en una ip privada de mi lan 192.168.10.200 y > la ip publica que resuleve el dominio es 201.122.91.101/29 como les digo > cuando pongo a produccion el firewall funciona todo ok y el correo puedo > enviar pero no puedo recibir desde afuera o lo que mis clientes le envian a > los usuarios de la red desde sus oficinas, yo estoy aplicando la siguiente > reglas en mi script firewall iptables, si puediran decirme que regla me > esta faltando para que me puedan ingresar los correos externos a mi > servidor y mis usuarios los puedan descargar se los agradeceria , le envio > mis lineas de firewall : > > #!/bin/bash > # > ################################################## > # DEFINIENDO LAS VARIABLES GLOBALES Y DE ENTORNO > ################################################## > # > IPT="/sbin/iptables" > MPR="/sbin/modprobe" > # > > ########################################################################################################### > # LIMPIAMOS LAS REGLAS QUE SE PUEDEN ESTAR EJECUTANDO Y LAS CADENAS PARA > INPUT, OUTPUT, FORWARD Y NAT > > ########################################################################################################### > $IPT -F > $IPT -X > $IPT -Z > $IPT -t nat -F > $IPT -t nat -X > # > > ######################################################################################## > #INSTALAMOS LOS MODULOS NECESARIOS PARA UTLIZAR LA REGLAS PARA UN MEJOR > CONTROL > > ######################################################################################## > # > $MPR ip_tables > $MPR iptable_nat > $MPR ip_conntrack > $MPR ip_conntrack_ftp > $MPR ip_conntrack_irc > $MPR ip_nat_ftp > $MPR ipt_LOG > $MPR ipt_MARK > $MPR ipt_MASQUERADE > $MPR ipt_REDIRECT > $MPR ipt_TOS > $MPR ipt_limit > $MPR ipt_mac > $MPR ipt_state > $MPR ipt_multiport > $MPR ipt_tos > $MPR ipt_mark > $MPR iptable_mangle > # > ############################################# > # DATOS DE LA INTERFAZ LOCAL > ############################################# > # > LOCALHOST="127.0.0.1" > # > > ############################################################################ > #IP DEL FW PARA LA RED LAN COMO PUERTA DE ENLACE A LA RED CORPORATIVA > > ############################################################################ > # > MIIP="192.168.192.1" > # > ############################################ > # RED LAN CORPORATIVA > ############################################ > # > LAN_CORP="192.168.10.0/24" > WAN_UNIRED="201.122.91.0/29" > # > ############################################################### > # VARIABLES PARA EL ACCESO DE LA RED LAN A LOS DNS INTERNOS > ############################################################### > # > DNS1="192.168.192.1" > DNS2="192.168.192.200" > DNS3="200.48.0.37" > DNS4="200.48.0.38" > # > ################################################# > # VARIABLES PARA LOS PUERTOS NO PRIVILEGIADOS > ################################################# > # > PNP=1024:65535 > # > ####################################################### > # SE DEFINEN LA REDES LOCALES > ####################################################### > # > NET_LOCALES="192.168.192.0/24" > # > ########################################### > # IP'S CON PROXY'S INTERNOS > ########################################### > # > IP_PROXY_INT="192.168.192.1" # proxy firewall > IP_PROXY_GER="192.168.192.20" # router unired > IP_FW_INT="192.168.192.1" > IP_FW_INT2="192.168.192.2" > # > ###################################################### > #VARIABLES PARA EL ANTIVIRUS, FTP INDRA > ###################################################### > # > IP_PUBLICA_100="201.122.91.100" > IP_PUBLICA_101="201.122.91.101" > IP_PUBLICA_102="201.122.91.102" > IP_INT_ANTIVIRUS="192.168.10.23" > # > # > ###################################################################### > # VARIABLES VARIAS FW CORPORATIVO - HERENCIA FW ANTERIOR > ###################################################################### > # > IP_WEB_EXT="201.122.91.100" > IP_SERVER_SINTAD="192.168.10.168" > IP_SERVER_CORREO="192.168.10.200" > IP_SERVER_WEB="192.168.10.200" > IP_PROXY_EXT="201.122.91.100" > IP_ROUTER_INT="201.122.91.99" > # > ##################################### > # DEFINIENDO INTERFACES > ##################################### > # > INET_IF="eth0" > CORP_IF="eth1" > # > ######################################################### > #POLITICA POR DEFECTODE NUESTRO FIREWALL - DROP > ######################################################### > # > $IPT -P INPUT DROP > $IPT -P OUTPUT DROP > $IPT -P FORWARD DROP > # > > ################################################################################# > ##### REGLA PARA PROCESAR SISTEMAS PROPIOS SE DEBE DE TENER ACCESO > ##### IRRESTRICTO A LA INTERFAZ DE LAZO > > ################################################################################# > # > $IPT -A INPUT -i $LOCALHOST -j ACCEPT > $IPT -A OUTPUT -o $LOCALHOST -j ACCEPT > # > #################################################################### > # REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO > #################################################################### > # > $IPT -A INPUT -s $MIIP -j ACCEPT > $IPT -A OUTPUT -d $MIIP -j ACCEPT > # > ####################################################################### > # PUERTOS EN EL FIREWALL PARA EL SERVIDOR DE CORREOS > ####################################################################### > # > # Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP > > $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT > # > # Abrimos el pop3 > # > $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT > # > # abrimos el imap > # > $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 143 -j ACCEPT > # > # Abrimos puertos necesarios para Zimbra > # > $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 993 -j ACCEPT > $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 995 -j ACCEPT > # > #Abrimos Puerto 80 Web Server > # > $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT > > # > ########################################################## > ##### TENEMOS ACCESO DESDE LA RED LOCAL > ########################################################### > # > $IPT -A INPUT -s $LAN_CORP -j ACCEPT > $IPT -A OUTPUT -s $LAN_CORP -j ACCEPT > $IPT -A FORWARD -s $LAN_CORP -j ACCEPT > # > ############################################################### > ##### PERMITIMOS QUE LA MAQUINA FIREWALL PUEDA SALIR AL SSH > ############################################################### > # > $IPT -A INPUT -p tcp -m tcp --sport 22 -m state --state > RELATED,ESTABLISHED -j ACCEPT > $IPT -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT > # > ################################################ > ##### REGLA PARA ACEPTAR HACER PING > ################################################ > # > $IPT -A INPUT -p icmp -j ACCEPT > $IPT -A OUTPUT -p icmp -j ACCEPT > $IPT -A FORWARD -p icmp -j ACCEPT > # > ####################################################### > ##### HABILITAR EL REENVIO DE PAQUETES > ####################################################### > # > echo "1" > /proc/sys/net/ipv4/ip_forward > # > ########################################################### > #PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS > ########################################################### > # > $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > # > # > # Enable statefull rules (after that, only need to allow NEW conections) > iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT > # > > ####################################################################################### > ##### NO ACEPTAR PAQUETES INVALIDOS > ##### CUANDO (sync,acr,fin,psh,rst,urg) PUEDEN DAR COMO RESULTADO 11111 O > 00000 > ##### LOS CUALES ESTOS SON INVALIDOS > > ####################################################################################### > # > $IPT -A FORWARD -p tcp -j DROP -m state --state INVALID > # > #################################################### > # ENMASCARANDO LA RED PARA INTERNET > #################################################### > # > $IPT -t nat -A POSTROUTING -s $LAN_CORP -o $INET_IF -j MASQUERADE > # > ################################################################## > # REGLA PARA QUE SE VEAN LAS REDES CORPORATIVA Y NETLINES > ################################################################## > # > # > $IPT -A FORWARD -s $LAN_CORP -d $WAN_UNIRED -j ACCEPT > $IPT -A FORWARD -s $WAN_UNIRED -d $LAN_CORP -j ACCEPT > ####$IPT -A INPUT -i $IP_PROXY_EXT -s $LAN_CORP -p tcp --dport 5800 -j > ACCEPT > # > ################################################################# > # REGLA PARA CREAR EL SNAT HACIA LA INTERFAZ WAN DEL FIREWALL # > # PARA QUE LAS DIRECCIONES INTERNAS SALGA A INTERNET CON ESA IP # > ################################################################ > # > $IPT -t nat -A POSTROUTING -o $INET_IF -s $LAN_CORP -p icmp -j SNAT --to > $IP_PROXY_EXT > # > # > > ################################################################################################# > ##### PARA HACER PING DE LAN CORPORATIVA A INTERNET PERO NO DE INTERNET A > MI LAN CORPORATIVA # > > ################################################################################################# > # > # > $IPT -A FORWARD -p icmp -s $LAN_CORP -d $MIIP --icmp-type 8 -j ACCEPT > $IPT -A FORWARD -p icmp -s $LAN_CORP -d $MIIP --icmp-type 0 -j ACCEPT > # > #################################################### > # ABRIR PUERTO MYSQL 3306 > #################################################### > # > $IPT -A INPUT -s $LAN_CORP -m state --state NEW -m tcp -p tcp --dport 3306 > -j ACCEPT > $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -s > $LAN_CORP -d $IP_SERVER_SINTAD --dport 3306 -j ACCEPT > # > > ############################################################################### > # PUERTOS DE INGRESO DE INTERNET A MI FIREWALL - PARA LA CADENA INPUT : > > ############################################################################## > # > for PUERTO in 21 25 80 110 143 443 993 995 3306 8080 8443; do > $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s > $LAN_CORP -d $MIIP --sport $PNP --dport $PUERTO -j ACCEPT > done > for PROTOCOLO in udp tcp; do > for DNS in $DNS1 $DNS2 $DNS3 $DNS4; do > $IPT -A INPUT -p $PROTOCOLO -s $MIIP -d $DNS --dport 53 -j ACCEPT > done > done > # > > ################################################################################### > # PUERTOS DE SALIDA DE MI FIREWALL A INTERNET - PARA LA CADENA OUTPUT : > > ################################################################################### > # > for PUERTO in 21 25 80 110 143 443 993 995 3306 8080 8443; do > $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s $MIIP > -d $LAN_CORP --sport $PNP --dport $PUERTO -j ACCEPT > done > for PROTOCOLO in udp tcp; do > for DNS in $DNS1 $DNS2 $DNS3 $DNS4; do > $IPT -A OUTPUT -p $PROTOCOLO -s $MIIP -d $DNS --dport 53 -j ACCEPT > done > done > # > ########################################################################### > # PUERTOS DE SALIDA DE MI LAN A INTERNET - PARA LA CADENA FORWARD : > ########################################################################### > # > for PUERTO in 21 25 80 110 143 443 993 995 3306 8080 8443; do > $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -s > $LAN_CORP -d $MIIP --sport $PNP --dport $PUERTO -j ACCEPT > done > for PROTOCOLO in udp tcp; do > for DNS in $DNS1 $DNS2 $DNS3 $DNS4; do > $IPT -A FORWARD -p $PROTOCOLO -m state --state NEW,ESTABLISHED,RELATED > -s $LAN_CORP -d $DNS --dport 53 -j ACCEPT > done > done > # > ########################################################################## > # REGLA PARA ACCESO AL GPS DE DETERMINADAS IP'S > ########################################################################## > # > IP_GPS="192.168.10.18 192.168.10.21 192.168.10.51 192.168.10.57 > 192.168.10.59 192.168.10.104 192.168.10.106 192.168.10.107 192.168.10.112 > 192.168.10.155 192.168.10.206 192.168.10.204 192.168.10.205 192.168.10.208 > 192.168.10.210 " > for ACC_GPS in $IP_GPS > do > # $IPT -t nat -I POSTROUTING -s $TOTAL_ACCESS -j SNAT --to > $IP_PROXY_EXT > $IPT -t nat -I POSTROUTING -o $CORP_IF -s $ACC_GPS -j SNAT --to > $IP_PROXY_EXT > $IPT -t nat -A PREROUTING -s $ACC_GPS -p tcp --dport 80 -j ACCEPT > $IPT -t nat -A PREROUTING -s $ACC_GPS -p tcp --dport 443 -j ACCEPT > done > # > ########################################################################## > # REGLA PARA HABILITAR EL PROXY DE SALIDA A INTERNET PARA LA RED LOCAL > # REGLA PARA OBLIGAR A TODA LA RED A UTILIZAR EL PROXY CONVENCIONAL > ########################################################################## > # > $IPT -t nat -A PREROUTING -p tcp --dport 80 -s $LAN_CORP -j REDIRECT > --to-port 8080 > $IPT -t nat -A PREROUTING -p tcp --dport 443 -s $LAN_CORP -j REDIRECT > --to-port 8080 > # > ########################################################## > #REGLA PARA EL ACCESO DE CIERTAS IP'S CON PRIVILEGIOS > ########################################################## > # > #IP_PRIVILEG="192.168.10.21 192.168.10.22 192.168.10.24 192.168.10.25 > 192.168.10.39 192.168.10.42 192.168.10.43 192.168.10.45 192.168.10.52 > 192.168.10.54 192.168.10.71 192.168.10.72 192.168.10.73 192.168.10.75 > 192.168.10.85 192.168.10.101 192.168.10.105 192.168.10.106 192.168.10.113 > 192.168.10.117 192.168.10.140 192.168.10.180 192.168.10.185" > #IP_PRIVILEG="192.168.10.66" > #for FR in $IP_PRIVILEG > #do > # $IPT -A FORWARD -p tcp -s $FR --dport 80 -j ACCEPT > # $IPT -A FORWARD -p tcp -s $FR --dport 443 -j ACCEPT > #done > # > ################################################################ > # HABILITACION DE PERMISO DE ACCESO AL SERVIDOR WEB LOCAL > # WEB > ################################################################ > # > $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 25 -j DNAT > --to-destination $IP_SERVER_CORREO:25 > $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 110 -j DNAT > --to-destination $IP_SERVER_CORREO:110 > $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 143 -j DNAT > --to-destination $IP_SERVER_CORREO:143 > $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 993 -j DNAT > --to-destination $IP_SERVER_CORREO:993 > $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 995 -j DNAT > --to-destination $IP_SERVER_CORREO:995 > $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 80 -j DNAT > --to-destination $IP_SERVER_WEB > # > ####################################################### > #REGLA PARA ACTUALIZAR EL ANTIVIRUS > ####################################################### > # > $IPT -t nat -A PREROUTING -p tcp -d $IP_WEB_EXT --dport 3306 -j DNAT > --to-destination $IP_SERVER_SINTAD:3306 > $IPT -t nat -A PREROUTING -p tcp -d $IP_WEB_EXT --dport 7074 -j DNAT > --to-destination $IP_INT_ANTIVIRUS:7074 > # > ############### > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
