iptables liberando smtp e pop [RESOLVIDO]

1. iptables liberando smtp e pop [RESOLVIDO]

cristiano_be
(usa Ubuntu)

Enviado em 27/06/2011 - 09:26h

Pessoal

Estou precisando de uma ajuda.

coloquei um proxy ubuntu server, 10.04 entre a internet e os micros da rede local.

O squid está instalado e funcionando.

Preciso da internet e do serviço de e-mail (pop e smtp)

Se eu compartilho a conexão via nat no iptables, tudo funciona perfeito, porem se tirar o endereço do proxy do navegador, os usuários acessam a internet sem passar pelo squid.

Se eu redireciono no iptables o trafego da internet para a porta 80 funciona o proxy transparente, porem eu não consigo ter o proxy autenticado.

Queria um firewall bloqueando tudo e só permitindo acesso especifico. Dessa forma, os usuários serão obrigados a passar pelo proxy (squid) e se tirar o endereço do navegador, não consegue navegar.

O problema é que eu não consigo liberar no iptables o e-mail. As estações não enviam nem recebe nada. Já vasculhei a internet e não achei nada relacionado.

Alguem poderia me ajudar a configurar o iptables somente para liberar as portas smtp e pop e deixar livre para envio e recebimento de e-mails?

Obrigado pessoal.

0 0

Quote

2. MELHOR RESPOSTA

renato_pacheco
(usa Debian)

Enviado em 27/06/2011 - 09:50h

Se vc quer o proxy autenticado, mas sem permitir q o pessoal acesse sem proxy, é só bloquear os encaminhamentos da porta 80:

# iptables -A FORWARD -p tcp --dport 80 -j DROP

Considerando q a política seja ACCEPT para FORWARD, caso contrário, a regra não é necessária. Para liberar as portas 25 (SMTP) e 110 (POP3), faça:

# iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
# iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
# iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
# iptables -A FORWARD -p udp --dport 53 -j ACCEPT

Note q deve ser liberado tb as portas para o DNS, senão não vai nem a pau. Considerando q a política seja DROP para FORWARD.

0 0

Quote

3. iptables liberando smtp e pop

Cristiano_Be
(usa Ubuntu)

Enviado em 28/06/2011 - 19:31h

Caro amigo renato pacheco.
Estou começando agora com linux, então peço desculpas antecipadamente se fizer alguma pergunta sem logica.

Então, a minha intenção era deixar o iptables limpo e só com regras para liberar e-mail.

A internet seria Monitorada pelo squid autenticado e com endereço do proxy no navegador. (já fiz o teste e se tirar o endereço do proxy do navegador, não acessa a internet).

os e-mails eu adcionaria regras no iptables para liberar as mensagens.

Usando este cenário eu não tive sucesso adicionando as regras que vc me passou para liberar os e-mails. Porem estive pesquisando e me parece que se o firewall ficar sem regras, o servidor ficaria desprotegido. Será que esta dedução está correta?

Depois de mais algumas leituras na internet, me parece que usando uma conexão adsl fica complicado ter o serviço de e-mail funcionando 100% sem compartilhar a conexão pelo NAT no iptables. Isso seria verdade?

Então com base nisso, eu deixei o NAT no iptables funcionando e usei a sua regra para bloquear as requisições na porta 80. Sua regra atendeu as minhas necessidades, pois agora só com o endereço do proxy no navegador o pessoal consegue acesso. Se tirar, não passa nada.

Agradeço a sua ajuda e só peço que me ajude com as primeiras perguntas que fiz neste post. É sempre bom a gente entender mais do assunto.

Se tiver um tempo por favor, me ajude a entender mais sobre esse assunto. No mais este topico está resolvido com base na sua ajuda.

Valeu!! Obrigado!!

0 0

Quote

4. Re: iptables liberando smtp e pop [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 29/06/2011 - 09:27h

Então vai ae uma pequena aula sobre iptables...

O iptables constitui de tabelas (nat, filter e mangle), tipos d inserção (-A, -D, -X, -P), chains ou cadeias (FORWARD, PREROUTING, INPUT, OUTPUT, POSTROUTING...), opções (-p, -s, -d...) e ações (ACCEPT, DROP, RETURN, REJECT, REDIRECT, DNAT, SNAT...). Como são diversas opções, vamos trabalhar apenas com o essencial.
As políticas padrão do iptables são todas ACCEPT, então o q vc disse está correto, tudo está desprotegido. O certo seria manter a política padrão como DROP, para vc inserir apenas as regras d liberação (facilita a manutenção do firewall). Mudando a política:

iptables -P INPUT DROP
iptables -P FORWARD DROP

Note q não coloquei o OUTPUT pq nem sempre precisamos dela bloqueada.
Agora q vc entendeu um pouquinho do iptables, sugiro a leitura do manual, lá consta, por completo, todas as opções disponíveis do firewall. Qq dúvida é só perguntar.

# man iptables

0 0

Quote