---

Er der nogen der ved::?
Jeg kører en server her ved mig selv, mest for sjov.
denne kører med 2 netkort og fungerer som router.
Det er en linux Mandriva 10.1. Her er opsat en firewall mellem de 2 netkort.
webserver kører ok, mailserver ok, osv, men:
hvis man skal sende mail fra denne server blokeres disse ved TDC som spærrer port 25.
Dette er helt fint vi vil jo gerne undgå spammails. Hvis man bruger TDC's SMTP server som smart host kan man aflevere sine mails her og de kører så gennem TDC's spamfilter helt fint.
Har haft dette til at virke men det kræver en linie i min iptables (firewall).
denne er blevet borte da jeg kom til at resette firewallen, HVORDAN SÅ DEN UD???
nogen der genkender noget af dette giv et prej.
Hilsen STEEN

---

Hey Steen.

Det kommer jo konkret an på meget hvordan man har sit sat op.
Min firewall har 5NICS hvor jeg selv har lavet scriptet.
Men det kommer jo helt an på hvordan du selv har tænkt dig om idet du har lavet scriptet.
Jeg har valgt at skrive det i Bash - som bliver kaldt som et INIT-script hvor jeg kan starte stoppe det.
Hele skriptet kan ses her: http://linux.pbj-design.dk/scripts/pbj-iptables.txt


$IPTABLES -t nat -A PREROUTING -d $WAN_IP -p tcp -m multiport --dports 25,110,143 -j DNAT --to-destination $MAILSERVER
$IPTABLES -A wantodmz -d $MAILSERVER -p tcp -m multiport --dports 25,110,143 -j ACCEPT

Dette er den indgående linie i mit script!
Og den udgående fra min router hedder således:
$IPTABLES -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

---

foreløbig tak
Det vil jeg læse på, men det er jo svært tilgængeligt stof, og det er ikke altid evnerne rækker,
jeg bruger gerne en webmin server til at rette i tingene, men det er også rart at vide hvor filerne i virkeligheden befinder sig.
her er lige som min iptables ser ud nu.

[root@stec sysconfig]# vim iptables

# Generated by iptables-save v1.2.9 on Fri Dec 28 13:05:53 2007
*mangle
:PREROUTING ACCEPT [1485:557722]
:INPUT ACCEPT [540:67763]
:FORWARD ACCEPT [945:489959]
:OUTPUT ACCEPT [463:129442]
:POSTROUTING ACCEPT [1472:626748]
COMMIT
# Completed on Fri Dec 28 13:05:53 2007
# Generated by iptables-save v1.2.9 on Fri Dec 28 13:05:53 2007
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i eth1 -j ACCEPT
# IMPC
-A INPUT -p tcp -m tcp -i eth0 --dport 6 -j ACCEPT
# telnet
-A INPUT -p tcp -m tcp -i eth0 --dport 20 -j ACCEPT
# telnet
-A INPUT -p tcp -m tcp -i eth0 --dport 21 -j ACCEPT
# webmin
-A INPUT -p tcp -m tcp -i eth0 --dport 22 -j ACCEPT
# telnet
-A INPUT -p tcp -m tcp -i eth0 --dport 23 -j ACCEPT
# MAIL OUT
-A INPUT -p tcp -m tcp -i eth0 --dport 25
# DNS
-A INPUT -p tcp -m tcp -i eth0 --dport 53 -j ACCEPT
# WEB
-A INPUT -p tcp -m tcp -i eth0 --dport 80 -j ACCEPT
# MAIL IN
-A INPUT -p tcp -m tcp -i eth0 --dport 110 -j ACCEPT
# Time
-A INPUT -p tcp -m tcp -i eth0 --dport 123 -j ACCEPT
# Til Ubunto
-A INPUT -p tcp -m tcp -i eth0 --dport 7070 -j ACCEPT
# Til Ubunto
-A INPUT -p tcp -m tcp -i eth0 --dport 8080 -j ACCEPT
# webmin
-A INPUT -p tcp -m tcp -i eth0 --dport 10000
-A INPUT -i eth0 -j REJECT
# TDC mail
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
COMMIT
# Completed on Fri Dec 28 13:05:53 2007
# Generated by iptables-save v1.2.9 on Fri Dec 28 13:05:53 2007
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
# Til Ubunto
-A PREROUTING -p tcp -m tcp -i eth0 --dport 8080 -j DNAT --to-destination 192.168.1.50:80
# Til Ubunto
-A PREROUTING -p tcp -m tcp -i eth0 --dport 7070 -j DNAT --to-destination 192.168.1.50:7070
COMMIT
# Completed on Fri Dec 28 13:05:53 2007


hilsen Steen

---

Hvad der lige sprang i øjenene :
# MAIL OUT
-A INPUT -p tcp -m tcp -i eth0 --dport 25
Der er ingen -j ACCEPT på ????? Ergo bliver det ikke accepteret igennem

---

ja til peque
Ja det har du ret i det med ACCEPT
Det har der været.
linien står der bare nu med webmin sat i : DO NOTHING
hvis jeg forstår det rigtigt, forhindrer jeg hermed at mogen sender mails ind til maskinens mailserver, men ikke ud herfra.
Jeg har fundet et andet sted hvor det går galt!!
her hvor jeg sidder bag maskinen (på eth1 192.168.1.0 net)
kan jeg få prompt med et telnet til port 25 og port 110,
det kan jeg også til egen server så ok med det.
men sidder jeg på serveren får jeg ikke svar fra TDC's mailserver, og HOVSA jeg kan heller ikke se en netside. men godt nok alle maskinens egne netsider skrevet med navn. så der må også være et DNS problem. Dette skal jeg da have klaret først.
hilsen Steen

---

Tja - Du skal nu huske på at i IPTABLES - er der både indgående og udgående kanaler -
INPUT - OUTPUT kæderne.
Derfor kan det være et problem og extremt uoverskueligt - derfor var det også at jeg lavede mit eget script til sidst - men så funker det ogswå efter egen meninger og logik.

DNS er noget kedeligt noget - Men jeg tror nu mere det er et problem i din iptables.
Du vil jo ikke få svar fra serveren hvis ikke IPtables tillader den lokale maskine at få forbindelse.

Men derfor kan dine maskine på dit LAN godt have tilladelse uanset hvad! Det er ikke ensbetydende med serveren har lov!

---

Tak for svarerene peque.
Jeg er kommet godt videre ikke helt i mål endnu
Jeg Kunne se min mailserver og TDC's (med telnet) fra intern net.
Jeg kunne sende en mail til min TDC konto hvis overtog en bruger på maskinen.
men nu tager den ikke imod mails sendt fra intern net Ha! Ha!
jeg nørkler videre og tak for nu hilsen Steen

---

Selv tak.

Men du skal jo også huske at åbne for den internt fra ??
kan du telnet til porten fra internt net??

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.