Estimado, Cuando hablas de enmascarar la salida a que te refieres ya que en la salida de correo no tengo problemas, el tema esta cuando pongo a produccion el firewall los correos no llegan a mi usuarios. Mi servidor esta en una ip privada de mi lan y yo hago un prerouting de la publica a la ip del servidor interno. Que podria estar pasando o que regla me faltaria aplicar a mi script.
Saludos Cordiales, Cesar Ramos Alvarado El 31 de octubre de 2014, 12:51, arturo melchor <[email protected]> escribió: > No he visto todo tu script pero unas sugerencias: > > El puerto del servidor de entrada de tu mail server esta debidamente > nateada hacia la ip interna de este ? También debes enmascarar la salida. > > Prueba con un telnet desde afuera si esta respondiendo tu servidor de > correo. > > Tu ip publica tiene registro ptr?(resolución inversa) > El oct 31, 2014 12:41 PM, "System Support" <[email protected]> > escribió: > >> >> Estimados Amigos, >> Queria hacerles una consulta ya que tengo un firewall debian con 2 >> tarjetas de red >> eth0 - 201.122.91.100/29 ( ip publica de mi proveedor, esta interfaz >> tiene como gateway 201.122.91.99 y dns configurado 200.48.0.37 200.48.0.38 >> de unired telefonica) >> eth1 - 192.168.10.1 (Puerta de Enlace de la lan para que puedan salir a >> internet los usuarios) >> Este firewall tambien funciona como dns local y proxy squid funciona y >> bloquea las redes sociales y otras paginas que la empresa no quieren que >> los usuarios de la red lan puedan acceder, el problema pasa con mi servidor >> de correos que es un Centos con cyrus ya que cuando pongo a funcionar el >> firewall solo puedo enviar correo pero no puedo recibir a pesar de que me >> responden lo que yo les envio desde mi lan a algunas cuentas de gmail, pero >> localmente si envio y recibo. >> Este servidor de correos esta en una ip privada de mi lan 192.168.10.200 >> y la ip publica que resuleve el dominio es 201.122.91.101/29 como les >> digo cuando pongo a produccion el firewall funciona todo ok y el correo >> puedo enviar pero no puedo recibir desde afuera o lo que mis clientes le >> envian a los usuarios de la red desde sus oficinas, yo estoy aplicando la >> siguiente reglas en mi script firewall iptables, si puediran decirme que >> regla me esta faltando para que me puedan ingresar los correos externos a >> mi servidor y mis usuarios los puedan descargar se los agradeceria , le >> envio mis lineas de firewall : >> >> #!/bin/bash >> # >> ################################################## >> # DEFINIENDO LAS VARIABLES GLOBALES Y DE ENTORNO >> ################################################## >> # >> IPT="/sbin/iptables" >> MPR="/sbin/modprobe" >> # >> >> ########################################################################################################### >> # LIMPIAMOS LAS REGLAS QUE SE PUEDEN ESTAR EJECUTANDO Y LAS CADENAS PARA >> INPUT, OUTPUT, FORWARD Y NAT >> >> ########################################################################################################### >> $IPT -F >> $IPT -X >> $IPT -Z >> $IPT -t nat -F >> $IPT -t nat -X >> # >> >> ######################################################################################## >> #INSTALAMOS LOS MODULOS NECESARIOS PARA UTLIZAR LA REGLAS PARA UN MEJOR >> CONTROL >> >> ######################################################################################## >> # >> $MPR ip_tables >> $MPR iptable_nat >> $MPR ip_conntrack >> $MPR ip_conntrack_ftp >> $MPR ip_conntrack_irc >> $MPR ip_nat_ftp >> $MPR ipt_LOG >> $MPR ipt_MARK >> $MPR ipt_MASQUERADE >> $MPR ipt_REDIRECT >> $MPR ipt_TOS >> $MPR ipt_limit >> $MPR ipt_mac >> $MPR ipt_state >> $MPR ipt_multiport >> $MPR ipt_tos >> $MPR ipt_mark >> $MPR iptable_mangle >> # >> ############################################# >> # DATOS DE LA INTERFAZ LOCAL >> ############################################# >> # >> LOCALHOST="127.0.0.1" >> # >> >> ############################################################################ >> #IP DEL FW PARA LA RED LAN COMO PUERTA DE ENLACE A LA RED CORPORATIVA >> >> ############################################################################ >> # >> MIIP="192.168.192.1" >> # >> ############################################ >> # RED LAN CORPORATIVA >> ############################################ >> # >> LAN_CORP="192.168.10.0/24" >> WAN_UNIRED="201.122.91.0/29" >> # >> ############################################################### >> # VARIABLES PARA EL ACCESO DE LA RED LAN A LOS DNS INTERNOS >> ############################################################### >> # >> DNS1="192.168.192.1" >> DNS2="192.168.192.200" >> DNS3="200.48.0.37" >> DNS4="200.48.0.38" >> # >> ################################################# >> # VARIABLES PARA LOS PUERTOS NO PRIVILEGIADOS >> ################################################# >> # >> PNP=1024:65535 >> # >> ####################################################### >> # SE DEFINEN LA REDES LOCALES >> ####################################################### >> # >> NET_LOCALES="192.168.192.0/24" >> # >> ########################################### >> # IP'S CON PROXY'S INTERNOS >> ########################################### >> # >> IP_PROXY_INT="192.168.192.1" # proxy firewall >> IP_PROXY_GER="192.168.192.20" # router unired >> IP_FW_INT="192.168.192.1" >> IP_FW_INT2="192.168.192.2" >> # >> ###################################################### >> #VARIABLES PARA EL ANTIVIRUS, FTP INDRA >> ###################################################### >> # >> IP_PUBLICA_100="201.122.91.100" >> IP_PUBLICA_101="201.122.91.101" >> IP_PUBLICA_102="201.122.91.102" >> IP_INT_ANTIVIRUS="192.168.10.23" >> # >> # >> ###################################################################### >> # VARIABLES VARIAS FW CORPORATIVO - HERENCIA FW ANTERIOR >> ###################################################################### >> # >> IP_WEB_EXT="201.122.91.100" >> IP_SERVER_SINTAD="192.168.10.168" >> IP_SERVER_CORREO="192.168.10.200" >> IP_SERVER_WEB="192.168.10.200" >> IP_PROXY_EXT="201.122.91.100" >> IP_ROUTER_INT="201.122.91.99" >> # >> ##################################### >> # DEFINIENDO INTERFACES >> ##################################### >> # >> INET_IF="eth0" >> CORP_IF="eth1" >> # >> ######################################################### >> #POLITICA POR DEFECTODE NUESTRO FIREWALL - DROP >> ######################################################### >> # >> $IPT -P INPUT DROP >> $IPT -P OUTPUT DROP >> $IPT -P FORWARD DROP >> # >> >> ################################################################################# >> ##### REGLA PARA PROCESAR SISTEMAS PROPIOS SE DEBE DE TENER ACCESO >> ##### IRRESTRICTO A LA INTERFAZ DE LAZO >> >> ################################################################################# >> # >> $IPT -A INPUT -i $LOCALHOST -j ACCEPT >> $IPT -A OUTPUT -o $LOCALHOST -j ACCEPT >> # >> #################################################################### >> # REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO >> #################################################################### >> # >> $IPT -A INPUT -s $MIIP -j ACCEPT >> $IPT -A OUTPUT -d $MIIP -j ACCEPT >> # >> ####################################################################### >> # PUERTOS EN EL FIREWALL PARA EL SERVIDOR DE CORREOS >> ####################################################################### >> # >> # Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP >> >> $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT >> # >> # Abrimos el pop3 >> # >> $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT >> # >> # abrimos el imap >> # >> $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 143 -j ACCEPT >> # >> # Abrimos puertos necesarios para Zimbra >> # >> $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 993 -j ACCEPT >> $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 995 -j ACCEPT >> # >> #Abrimos Puerto 80 Web Server >> # >> $IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT >> >> # >> ########################################################## >> ##### TENEMOS ACCESO DESDE LA RED LOCAL >> ########################################################### >> # >> $IPT -A INPUT -s $LAN_CORP -j ACCEPT >> $IPT -A OUTPUT -s $LAN_CORP -j ACCEPT >> $IPT -A FORWARD -s $LAN_CORP -j ACCEPT >> # >> ############################################################### >> ##### PERMITIMOS QUE LA MAQUINA FIREWALL PUEDA SALIR AL SSH >> ############################################################### >> # >> $IPT -A INPUT -p tcp -m tcp --sport 22 -m state --state >> RELATED,ESTABLISHED -j ACCEPT >> $IPT -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT >> # >> ################################################ >> ##### REGLA PARA ACEPTAR HACER PING >> ################################################ >> # >> $IPT -A INPUT -p icmp -j ACCEPT >> $IPT -A OUTPUT -p icmp -j ACCEPT >> $IPT -A FORWARD -p icmp -j ACCEPT >> # >> ####################################################### >> ##### HABILITAR EL REENVIO DE PAQUETES >> ####################################################### >> # >> echo "1" > /proc/sys/net/ipv4/ip_forward >> # >> ########################################################### >> #PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS >> ########################################################### >> # >> $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> # >> # >> # Enable statefull rules (after that, only need to allow NEW conections) >> iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT >> iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT >> # >> >> ####################################################################################### >> ##### NO ACEPTAR PAQUETES INVALIDOS >> ##### CUANDO (sync,acr,fin,psh,rst,urg) PUEDEN DAR COMO RESULTADO 11111 O >> 00000 >> ##### LOS CUALES ESTOS SON INVALIDOS >> >> ####################################################################################### >> # >> $IPT -A FORWARD -p tcp -j DROP -m state --state INVALID >> # >> #################################################### >> # ENMASCARANDO LA RED PARA INTERNET >> #################################################### >> # >> $IPT -t nat -A POSTROUTING -s $LAN_CORP -o $INET_IF -j MASQUERADE >> # >> ################################################################## >> # REGLA PARA QUE SE VEAN LAS REDES CORPORATIVA Y NETLINES >> ################################################################## >> # >> # >> $IPT -A FORWARD -s $LAN_CORP -d $WAN_UNIRED -j ACCEPT >> $IPT -A FORWARD -s $WAN_UNIRED -d $LAN_CORP -j ACCEPT >> ####$IPT -A INPUT -i $IP_PROXY_EXT -s $LAN_CORP -p tcp --dport 5800 -j >> ACCEPT >> # >> ################################################################# >> # REGLA PARA CREAR EL SNAT HACIA LA INTERFAZ WAN DEL FIREWALL # >> # PARA QUE LAS DIRECCIONES INTERNAS SALGA A INTERNET CON ESA IP # >> ################################################################ >> # >> $IPT -t nat -A POSTROUTING -o $INET_IF -s $LAN_CORP -p icmp -j SNAT --to >> $IP_PROXY_EXT >> # >> # >> >> ################################################################################################# >> ##### PARA HACER PING DE LAN CORPORATIVA A INTERNET PERO NO DE INTERNET A >> MI LAN CORPORATIVA # >> >> ################################################################################################# >> # >> # >> $IPT -A FORWARD -p icmp -s $LAN_CORP -d $MIIP --icmp-type 8 -j ACCEPT >> $IPT -A FORWARD -p icmp -s $LAN_CORP -d $MIIP --icmp-type 0 -j ACCEPT >> # >> #################################################### >> # ABRIR PUERTO MYSQL 3306 >> #################################################### >> # >> $IPT -A INPUT -s $LAN_CORP -m state --state NEW -m tcp -p tcp --dport >> 3306 -j ACCEPT >> $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -s >> $LAN_CORP -d $IP_SERVER_SINTAD --dport 3306 -j ACCEPT >> # >> >> ############################################################################### >> # PUERTOS DE INGRESO DE INTERNET A MI FIREWALL - PARA LA CADENA INPUT : >> >> ############################################################################## >> # >> for PUERTO in 21 25 80 110 143 443 993 995 3306 8080 8443; do >> $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s >> $LAN_CORP -d $MIIP --sport $PNP --dport $PUERTO -j ACCEPT >> done >> for PROTOCOLO in udp tcp; do >> for DNS in $DNS1 $DNS2 $DNS3 $DNS4; do >> $IPT -A INPUT -p $PROTOCOLO -s $MIIP -d $DNS --dport 53 -j ACCEPT >> done >> done >> # >> >> ################################################################################### >> # PUERTOS DE SALIDA DE MI FIREWALL A INTERNET - PARA LA CADENA OUTPUT : >> >> ################################################################################### >> # >> for PUERTO in 21 25 80 110 143 443 993 995 3306 8080 8443; do >> $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s >> $MIIP -d $LAN_CORP --sport $PNP --dport $PUERTO -j ACCEPT >> done >> for PROTOCOLO in udp tcp; do >> for DNS in $DNS1 $DNS2 $DNS3 $DNS4; do >> $IPT -A OUTPUT -p $PROTOCOLO -s $MIIP -d $DNS --dport 53 -j ACCEPT >> done >> done >> # >> >> ########################################################################### >> # PUERTOS DE SALIDA DE MI LAN A INTERNET - PARA LA CADENA FORWARD : >> >> ########################################################################### >> # >> for PUERTO in 21 25 80 110 143 443 993 995 3306 8080 8443; do >> $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -s >> $LAN_CORP -d $MIIP --sport $PNP --dport $PUERTO -j ACCEPT >> done >> for PROTOCOLO in udp tcp; do >> for DNS in $DNS1 $DNS2 $DNS3 $DNS4; do >> $IPT -A FORWARD -p $PROTOCOLO -m state --state NEW,ESTABLISHED,RELATED >> -s $LAN_CORP -d $DNS --dport 53 -j ACCEPT >> done >> done >> # >> ########################################################################## >> # REGLA PARA ACCESO AL GPS DE DETERMINADAS IP'S >> ########################################################################## >> # >> IP_GPS="192.168.10.18 192.168.10.21 192.168.10.51 192.168.10.57 >> 192.168.10.59 192.168.10.104 192.168.10.106 192.168.10.107 192.168.10.112 >> 192.168.10.155 192.168.10.206 192.168.10.204 192.168.10.205 192.168.10.208 >> 192.168.10.210 " >> for ACC_GPS in $IP_GPS >> do >> # $IPT -t nat -I POSTROUTING -s $TOTAL_ACCESS -j SNAT --to >> $IP_PROXY_EXT >> $IPT -t nat -I POSTROUTING -o $CORP_IF -s $ACC_GPS -j SNAT --to >> $IP_PROXY_EXT >> $IPT -t nat -A PREROUTING -s $ACC_GPS -p tcp --dport 80 -j ACCEPT >> $IPT -t nat -A PREROUTING -s $ACC_GPS -p tcp --dport 443 -j ACCEPT >> done >> # >> ########################################################################## >> # REGLA PARA HABILITAR EL PROXY DE SALIDA A INTERNET PARA LA RED LOCAL >> # REGLA PARA OBLIGAR A TODA LA RED A UTILIZAR EL PROXY CONVENCIONAL >> ########################################################################## >> # >> $IPT -t nat -A PREROUTING -p tcp --dport 80 -s $LAN_CORP -j REDIRECT >> --to-port 8080 >> $IPT -t nat -A PREROUTING -p tcp --dport 443 -s $LAN_CORP -j REDIRECT >> --to-port 8080 >> # >> ########################################################## >> #REGLA PARA EL ACCESO DE CIERTAS IP'S CON PRIVILEGIOS >> ########################################################## >> # >> #IP_PRIVILEG="192.168.10.21 192.168.10.22 192.168.10.24 192.168.10.25 >> 192.168.10.39 192.168.10.42 192.168.10.43 192.168.10.45 192.168.10.52 >> 192.168.10.54 192.168.10.71 192.168.10.72 192.168.10.73 192.168.10.75 >> 192.168.10.85 192.168.10.101 192.168.10.105 192.168.10.106 192.168.10.113 >> 192.168.10.117 192.168.10.140 192.168.10.180 192.168.10.185" >> #IP_PRIVILEG="192.168.10.66" >> #for FR in $IP_PRIVILEG >> #do >> # $IPT -A FORWARD -p tcp -s $FR --dport 80 -j ACCEPT >> # $IPT -A FORWARD -p tcp -s $FR --dport 443 -j ACCEPT >> #done >> # >> ################################################################ >> # HABILITACION DE PERMISO DE ACCESO AL SERVIDOR WEB LOCAL >> # WEB >> ################################################################ >> # >> $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 25 -j DNAT >> --to-destination $IP_SERVER_CORREO:25 >> $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 110 -j DNAT >> --to-destination $IP_SERVER_CORREO:110 >> $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 143 -j DNAT >> --to-destination $IP_SERVER_CORREO:143 >> $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 993 -j DNAT >> --to-destination $IP_SERVER_CORREO:993 >> $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 995 -j DNAT >> --to-destination $IP_SERVER_CORREO:995 >> $IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 80 -j DNAT >> --to-destination $IP_SERVER_WEB >> # >> ####################################################### >> #REGLA PARA ACTUALIZAR EL ANTIVIRUS >> ####################################################### >> # >> $IPT -t nat -A PREROUTING -p tcp -d $IP_WEB_EXT --dport 3306 -j DNAT >> --to-destination $IP_SERVER_SINTAD:3306 >> $IPT -t nat -A PREROUTING -p tcp -d $IP_WEB_EXT --dport 7074 -j DNAT >> --to-destination $IP_INT_ANTIVIRUS:7074 >> # >> ############### >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php >> >> Alojamiento de listas cortesia de http://cipher.pe >> > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
