Re: [postfix-users] Port yang harus dibuka

Sun, 30 May 2010 00:07:18 -0700 

On 5/14/2010 1:28 PM, Hari Hendaryanto wrote:

On 5/28/2010 1:51 PM, Tanya Muluw wrote:

2010/5/28 Imam Cartealy<carte...@yahoo.co.id>:

salam
mungkin yang baru dibuka port 25 output saja, port 25 input belum dibuka. Kalau 
ada script iptables-nya akan sangat membantu.

wassalam


Terima kasih buat semua tanggapan.

Mas Nyoman, mail server ini sebelumnya berfungsi dengan baik.

Script iptablesnya sebagai berikut (saya coba pelajari dari tulisan
mas Fajar yang saya donlot dari kambing) :

# Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix
"** INPUT DROP **"
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 5050 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix
"** FORWARD DROP **"
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix
"** OUTPUT DROP **"
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT
COMMIT
# Completed on Thu May 27 13:52:33 2010
# Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010
*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
-A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport
25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25
-A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport
110 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:110
-A PREROUTING -p tcp -m tcp --dport 443 -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu May 27 13:52:33 2010

Tambahan info :

10.10.48.0/22 : jaringan lokal, lewat eth1
Firewall dengan iptables di Ubuntu 10.04 di mesin terpisah dari mail server. 
Mail server menggunakan IP public (mohon pencerahannya juga kalau ini
tidak tepat)

Terima kasih sebelumnya.

BR

Tanya
jika merubah default policy dari ACCEPT ke DROP maka baris INPUT/OUTPUT iptables untuk smtp port seperti ini 

INPUT
aslinya:
-A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT 

menjadi:
-A INPUT -d MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT 
a
OUPUT
aslinya:
-A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT

menjadi:
-A OUTPUT -s MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT

demikian pula dengan service port yg lain

cmiiw

wassalam
ups, sorry saya nggak liat info tambahan di bawah, saya pikir mesin smtp dan firewall jadi satu. 

supaya paket smtp(port 25) dari lokal LAN bisa di forward ke mail server:
-A FORWARD -i eth1 -p tcp -m tcp -s 10.10.48.0/22 -d MAIL.SERVER.PUBLIC.IP --dport 25 -j ACCEPT 

allow forward paket smtp dari lokal LAN dengan tujuan mail server.
chain INPUT/OUTPUT cuma untuk paket dari/ke firewall itu sendiri, nggak pengaruh ke forwarding antara LAN <--> mail server, back and forth.
-A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25
ini tidak perlu ada perubahan saya rasa, karena default POLICY nya masih tetap accept di table nat. tapi tetap harus di allow di chain FORWARD(policy drop) 

-A FORWARD -i eth0 -p tcp --dport 25 -d MAIL.SERVER.PUBLIC.IP -j ACCEPT

jika di atas bisa jalan(semoga), bisa di coba hal yg sama untuk pop3/imap

default policy DROP memang agak2 ribet/tricky :D

cmiiw

Reply via email to