On 5/14/2010 1:28 PM, Hari Hendaryanto wrote:
On 5/28/2010 1:51 PM, Tanya Muluw wrote:
2010/5/28 Imam Cartealy<carte...@yahoo.co.id>:
salam
mungkin yang baru dibuka port 25 output saja, port 25 input belum
dibuka. Kalau
ada script iptables-nya akan sangat membantu.
wassalam
Terima kasih buat semua tanggapan.
Mas Nyoman, mail server ini sebelumnya berfungsi dengan baik.
Script iptablesnya sebagai berikut (saya coba pelajari dari tulisan
mas Fajar yang saya donlot dari kambing) :
# Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 80 -j
ACCEPT
-A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j
ACCEPT
-A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 443
-j ACCEPT
-A INPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix
"** INPUT DROP **"
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 5050 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix
"** FORWARD DROP **"
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix
"** OUTPUT DROP **"
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT
COMMIT
# Completed on Thu May 27 13:52:33 2010
# Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010
*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
-A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport
25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25
-A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport
110 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:110
-A PREROUTING -p tcp -m tcp --dport 443 -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu May 27 13:52:33 2010
Tambahan info :
10.10.48.0/22 : jaringan lokal, lewat eth1
Firewall dengan iptables di Ubuntu 10.04 di mesin terpisah dari mail
server.
Mail server menggunakan IP public (mohon pencerahannya juga kalau ini
tidak tepat)
Terima kasih sebelumnya.
BR
Tanya
jika merubah default policy dari ACCEPT ke DROP maka baris
INPUT/OUTPUT iptables untuk smtp port seperti ini
INPUT
aslinya:
-A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j
ACCEPT
menjadi:
-A INPUT -d MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j
ACCEPT
a
OUPUT
aslinya:
-A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT
menjadi:
-A OUTPUT -s MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT
demikian pula dengan service port yg lain
cmiiw
wassalam
ups, sorry saya nggak liat info tambahan di bawah, saya pikir mesin smtp
dan firewall jadi satu.
supaya paket smtp(port 25) dari lokal LAN bisa di forward ke mail server:
-A FORWARD -i eth1 -p tcp -m tcp -s 10.10.48.0/22 -d
MAIL.SERVER.PUBLIC.IP --dport 25 -j ACCEPT
allow forward paket smtp dari lokal LAN dengan tujuan mail server.
chain INPUT/OUTPUT cuma untuk paket dari/ke firewall itu sendiri, nggak
pengaruh ke forwarding antara LAN <--> mail server, back and forth.
-A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport
25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25
ini tidak perlu ada perubahan saya rasa, karena default POLICY nya masih
tetap accept di table nat. tapi tetap harus di allow di chain
FORWARD(policy drop)
-A FORWARD -i eth0 -p tcp --dport 25 -d MAIL.SERVER.PUBLIC.IP -j ACCEPT
jika di atas bisa jalan(semoga), bisa di coba hal yg sama untuk pop3/imap
default policy DROP memang agak2 ribet/tricky :D
cmiiw