Microsoft Outlook não recebe ou envia mensagens

alxbf
(usa CentOS)

Enviado em 17/10/2012 - 15:16h

Tenho um firewall iptables instalado em uma versão Centos 6.0 com squid, meus sites estão com as regras aplicadas e funcionando perfeitamente, porém após a configuração das contas (servidor uol utilizando as portas 110 e 587) de meus usuários no Microsoft Outlook 2007 não consigo receber ou enviar as mensagens. Os erros 0x800CCC0D e 0x800408FC aparecem para o Outlook. Fiz pesquisas em diversos sites e fóruns, apliquei boa parte das sugestões apresentadas e até o momento não obtive sucesso nesta configuração. Segue abaixo minha configuração, será que algum de vocês pode me ajudar com relação a isto? eth1= redeexterna eth0=redeinterna
Obrigado.

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s 127.0.0.0/255.0.0.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/24 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 587 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o eth1 -s 192.168.0.0/24 -d 0/0 -j ACCEPT
....

renato_pacheco
(usa Debian)

Enviado em 17/10/2012 - 15:32h

Como estão as políticas do seu firewall? Vc postou as regras completas ou está faltando mais regras?

alxbf
(usa CentOS)

Enviado em 17/10/2012 - 15:39h

O restante das regras são bloqueios de ataques...

renato_pacheco
(usa Debian)

Enviado em 17/10/2012 - 15:45h

Se não tem políticas, eu preciso saber q bloqueios vc está fazendo. Dependendo, vc terá q inserir regras q ficou faltando:

iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

iptables -A FORWARD -p tcp --dport 587 -j ACCEPT

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

 

alxbf
(usa CentOS)

Enviado em 17/10/2012 - 15:51h

Essas regras ficarão em que parte do arquivo que seguiu anteriormente. Não foi aplicada demais regras pois não utilizamos ou abrimos serviços externos, esta máquina deve apenas rotear acesso da internet com a rede interna e fazer o proxy para que os clientes possam comunicar com a mesma...
Vou aplicar as regras que me sugeriu e já retorno...

alxbf
(usa CentOS)

Enviado em 17/10/2012 - 16:03h

Coloquei as regras sugeridas e não deu certo...

renato_pacheco
(usa Debian)

Enviado em 17/10/2012 - 16:13h

Então... poste todas as suas regras. Precisamos dar uma ajeitada nessa parada!

alxbf
(usa CentOS)

Enviado em 17/10/2012 - 16:24h

# habilitando o roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
# limpando as regras anteriores
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
# habilitando os modulos
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_queue
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ip_tables
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_state
modprobe ipt_mac
modprobe ipt_multiport
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
# regras
# liberando porta 443 dns
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# liberando loopback
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
# liberando acessos internos para firewall
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
# logs de porta proibidas
#iptables -A INPUT -p tcp --dport 21 -j --log-prefix "Servico FTP"
#iptables -A INPUT -p tcp --dport 110 -j --log-prefix "Servico POP"
#iptables -A INPUT -p tcp --dport 587 -j --log-prefix "Servico SMTP-587"
#iptables -A INPUT -p tcp --dport 25 -j --log-prefix "Servico SMTP-25"
# habilitando porta SSH
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
# habilitando porta SMTP
#iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT
#iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 587 -j ACCEPT
iptables -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# habilitando porta dns
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/24 --sport 53 -j ACCEPT
# habilitando porta pop3
#iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
# redireciona portas
iptables -t nat -A PREROUTING -s x.x.x.x -i eth1 -j DNAT --to 192.168.0.7/24
iptables -t nat -A POSTROUTING -s x.x.x.x -o eth1 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.100.7/24 -o eth1 -j SNAT --to x.x.x.x
iptables -t nat -A POSTROUTING -s 192.168.100.7/24 -0 eth1 -p tcp --dport 3389 -j ACCEPT
# redirecionando porta 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# liberando todos os pacotes porta 25
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 587 -j ACCEPT
#
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
#
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
# liberando acesso interno da rede
iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
# compartilhando a internet com a rede interna
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -m multport -p tcp --dport 25,110,143,587 -j SNAT --to x.x.x.x
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o eth1 -s 192.168.0.0/24 -d 0/0 -j ACCEPT
# bloqueando traceroute
iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
# bloqueando contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
# protecao contra ip spoofing
iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
# protecao contra syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# protecao contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# protecao contra DDOS
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# bloqueando pacotes fragmentados
iptables -A INPUT -i eth1 -m unclean -j log_unclean
iptables -A INPUT -f -i eth1 -j log_fragment

renato_pacheco
(usa Debian)

Enviado em 17/10/2012 - 17:56h

Faça um backup do seu arquivo anterior e utilize este abaixo:

# habilitando o roteamento

echo 1 > /proc/sys/net/ipv4/ip_forward



# limpando as regras anteriores

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F



# habilitando os modulos

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

modprobe ip_queue

modprobe ipt_LOG

modprobe ipt_MARK

modprobe ip_tables

modprobe ipt_MASQUERADE

modprobe ipt_REDIRECT

modprobe ipt_REJECT

modprobe ipt_tos

modprobe ipt_limit

modprobe ipt_state

modprobe ipt_mac

modprobe ipt_multiport

modprobe iptable_filter

modprobe iptable_mangle

modprobe iptable_nat



# Inserindo políticas de acesso

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT



# regras



# liberando porta 443 dns - não entendi o pq dessa regra. comentado!

#iptables -A INPUT -p tcp --dport 443 -j ACCEPT



# liberando loopback

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT



# logs de porta proibidas

#iptables -A INPUT -p tcp --dport 21 -j --log-prefix "Servico FTP"

#iptables -A INPUT -p tcp --dport 110 -j --log-prefix "Servico POP"

#iptables -A INPUT -p tcp --dport 587 -j --log-prefix "Servico SMTP-587"

#iptables -A INPUT -p tcp --dport 25 -j --log-prefix "Servico SMTP-25"



# habilitando porta SSH

iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT



# habilitando porta SMTP - vc tem servidor de e-mail? deixe comentado caso não tenha...

#iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT

#iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 587 -j ACCEPT



# habilitando porta DNS - se não tiver servidor DNS, deixe comentado!

#iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 53 -j ACCEPT

#iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT



# habilitando porta pop3 - vc tem servidor de e-mail? deixe comentado caso não tenha...

#iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT

#iptables -A INPUT -p tcp --dport 110 -j ACCEPT



# redireciona portas

iptables -t nat -A PREROUTING -s x.x.x.x -i eth1 -j DNAT --to 192.168.0.7/24

iptables -t nat -A POSTROUTING -s x.x.x.x -o eth1 -p tcp --dport 3389 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.100.7/24 -o eth1 -j SNAT --to x.x.x.x

iptables -t nat -A POSTROUTING -s 192.168.100.7/24 -o eth1 -p tcp --dport 3389 -j ACCEPT



# redirecionando porta 3128 - seu squid é transparente? Se não, comente!

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 



# liberando todos os pacotes SMTP e POP3

iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

iptables -A FORWARD -p tcp --dport 587 -j ACCEPT

iptables -A FORWARD -p tcp --dport 110 -j ACCEPT



# liberando consulta DNS

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -p tcp --dport 53 -j ACCEPT



# liberando acesso interno da rede - não descomente isso... c tá liberando tudo pra galera!

#iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT

#iptables -A FORWARD -p tcp --syn -s 192.168.0.0/24 -j ACCEPT



# compartilhando a internet com a rede interna

#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -m multport -p tcp --dport 25,110,143,587 -j SNAT --to x.x.x.x

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE



# bloqueando traceroute - comentado, pois FORWARD já está como DROP

#iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP



# bloqueando contra ataques - comentado, pois FORWARD já está como DROP

#iptables -A INPUT -m state --state INVALID -j DROP



# protecao contra ip spoofing - comentado, pois FORWARD já está como DROP

#iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP

#iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP



# protecao contra syn-floods

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT



# protecao contra port scanners

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT



# protecao contra DDOS

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT



# bloqueando pacotes fragmentados

iptables -A INPUT -i eth1 -m unclean -j log_unclean

iptables -A INPUT -f -i eth1 -j log_fragment

 

Veja se funciona...

alxbf
(usa CentOS)

Enviado em 18/10/2012 - 14:48h

Renato, quando apliquei sua configuração, o acesso das máquinas ao servidor foi bloqueado, impedindo qualquer acesso ao mesmo.

renato_pacheco
(usa Debian)

Enviado em 18/10/2012 - 14:57h

Imaginei q poderia acontecer isso, pq eu não sei como a sua rede está montada. Eu deduzi algumas configs e ficou faltando alguma coisa pra liberar. Outra alternativa é certificar quais portas o Outlook está tentando acessar, apesar d vc já ter informado, mas é sempre bom conferir e verificar se vc liberou as portas. Lembre-se d q o e-mail precisa da consulta ao DNS liberada.

alxbf
(usa CentOS)

Enviado em 18/10/2012 - 15:28h

minha rede está da seguinte forma: meu circuito central está com ip 192.168.100.0/24 (onde estão meus servidores) e os clientes estão com ip 192.168.x.0/24. Todos os clientes só acessam internet através do circuito central onde o proxy/firewall está instalado com o endereço 192.168.100.10:3128. Diante da sua configuração tenho que abrir o acesso à rede 192.168.0.0/16?