Re: [Confirme] Pbl iptables + postfix
On Sat, 2003-04-05 at 17:03, JAGOT Vincent wrote: > Salut ! Hiyo ! > > J'ai trouvé une solution un peu "bourrin" mais en tout cas, ca > fonctionne chez moi. eh ben chez moi aussi, et ça C KOOL !! > > J'ai juste désinstallé le rpm iptables de Mdk9.1 pour installer la > version de Mdk 9.0. (1.2.7a -> 1.2.6a) Damn ! Pas tres satisfaisant, mais bon, comme on dit "if it ai'nt broken don't fix it !" > > Pour l'instant, je ne sais pas quelles seront les conséquences mais ca > marche ! > Tu m'étonnes ! Enfin une idée ! En 24 heures, bon score :) Merci, vraiment ! > Puis-je me mettre maintenant de faire des Mise à jour par Internet ? ? > Ben je sais pas. Au passage heureusement qu'iptables n'est pas "attaché" à d'autres packages (?!?) sion la manip' aurait été encore + crado ;) C à D, je pourrai pas faire la me chose pour nautilus, je suppose... C même sur. Shit. Une ID ?? > A+ > > Vincent > Ciao, merci encore pX -- pubkey 1024D/152F3376 Jabber:xaccrocheur <- http://www.halluci.net >ICQ:1858180 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Pbl iptables + postfix
Salut ! J'ai trouvé une solution un peu "bourrin" mais en tout cas, ca fonctionne chez moi. J'ai juste désinstallé le rpm iptables de Mdk9.1 pour installer la version de Mdk 9.0. (1.2.7a -> 1.2.6a) Pour l'instant, je ne sais pas quelles seront les conséquences mais ca marche ! Puis-je me mettre maintenant de faire des Mise à jour par Internet ? ? A+ Vincent > Mon script iptables, depuis l'upgrade de 9.0 vers 9.1, ne fonctionne > plus. > > La regle suivante ne passe plus : > iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE > > Donc je l'ai commentée, mais le forwarding ne marche plus, il n'y a plus > de LAN ;-(( > > Si quelq'un veut bien se pencher sur mon problème il redra heureuse > toute la famille, C pas rien. > > Concrètement, si qq1 ici a une MDK 9.1 qui sert de l'ADSL à un réseau > local, peut-il poster sa table de commandes iptables ? > > PS - je n'utilise aucun des outils MDK genre Control center car j'ai eu > plein de PBs avec les fichiers de config' qu'il génère(ait) ça a du être > réglé, mais de toute façon j'aime bien comprendre un peu ce qui se > passe. Mais si on m'explique comment faire les choses normalement, alors > je veux bien essayer... > > Bon, et mon Nautilus est toujours planté, mais c 1 autre histoire :-( > > Merci ! > > > > > > > > > Le Vendredi 4 Avril 2003 19:12, vous avez écrit : > > > Salut ! > > > Déjà, c'est bien de l'extérieur (internet) que tu n'arrives pas à > > > recevoir de mail, pas depuis ton LAN? > > > Depuis cette machine, tu arrives a envoyer des mails ? > > > > > > Le ven 04/04/2003 à 00:09, Jean-Jacques Mérillon a écrit : > > > > Je viens d'essayer en inversion les port sur INPUT et OUTPUT c'est pas > > > > mieux :( Alors voici toute ma configue : > > > > > > > > Tout d'abord iptables-save me donne ceci : > > > > > > > > # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 > > > > *filter > > > > > > > > :INPUT DROP [2:156] > > > > :FORWARD DROP [0:0] > > > > :OUTPUT DROP [0:0] > > > > > > > > -A INPUT -i lo -j ACCEPT > > > > -A INPUT -i eth1 -j ACCEPT > > > > > > > > > > > > -A INPUT -i ppp0 -p tcp -m tcp --dport 25 -m state --state > > > > RELATED,ESTABLISHED -j ACCEPT > > > > > > Rajoute NEW dans l'état. > > > > > > Si c'est depuis ton LAN que tu n'arrives pas à envoyer de mail, rajoute: > > > iptables -A INPUT -i eth0 --destination-port 25 -j ACCEPT > > > iptables -A OUTPUT -o eth0 --source-port 25 -j ACCEPT > > > (en considérant que l'interface de ton FW connectée au LAN est eth0) > > > > > > > -A FORWARD -i eth1 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j > > > > ACCEPT -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j > > > > ACCEPT -A OUTPUT -o lo -j ACCEPT > > > > -A OUTPUT -o eth1 -j ACCEPT > > > > -A OUTPUT -o ppp0 -p tcp -m tcp --sport 25 -m state --state > > > > NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT > > > > # Completed on Fri Apr 4 01:03:20 2003 > > > > # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 > > > > *nat > > > > > > > > :PREROUTING ACCEPT [69:7453] > > > > :POSTROUTING ACCEPT [9:519] > > > > :OUTPUT ACCEPT [33:1791] > > > > > > > > -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE > > > > COMMIT > > > > # Completed on Fri Apr 4 01:03:20 2003 > > > > # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 > > > > *mangle > > > > > > > > :PREROUTING ACCEPT [11798:3358141] > > > > :INPUT ACCEPT [10974:3300935] > > > > :FORWARD ACCEPT [824:57206] > > > > :OUTPUT ACCEPT [10935:4638056] > > > > :POSTROUTING ACCEPT [11735:4693990] > > > > > > > > COMMIT > > > > # Completed on Fri Apr 4 01:03:20 2003 > > > > > > > > > > > > Ensuite j'ai ouvert ous les ports > > > > iptables -P INPUT ACCEPT > > > > iptables -P OUTPUT ACCEPT > > > > > > > > Et j'ai snifé ma connexion ppp0 avec tcpdump le temps d'envoyer un mail > > > > le resultat ci dessous: > > > > > > > > -> Question c quoi les domaine de 212.27.32.176.domain et c quoi ce port > > > > 33055 ?? -> Cela vous eclaire sur la cause de mon pbl? > > > > > > Ici, le 33055, c'est ton port local ( bind() ) qui est connecté au port > > > DNS distant. > > > > > > Pour le "domain", c'est uniquement la requête DNS. Il recherche le > > > serveur de mail distant du domaine (enregistrement MX ici) > > > Tu as dû envoyer un mail à une adresse [EMAIL PROTECTED] Il recherche > > > donc le smtp de free pour envoyer le mail. > > > > > > > 00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain: 46219+ MX? > > > > free.fr. (25) (DF) 00:58:30.706593 212.27.32.176.domain > > > > > 81.56.211.247.33055: 46219* 9/2/14 MX mrelay3-2.free.fr. 50,[|domain] > > > > (DF) 00:58:30.707398 81.56.211.247.33055 > 212.27.32.176.domain: 46220+ > > > > A? mx.free.fr. (28) (DF) 00:58:30.768073 212.27.32.176.domain > > > > > 81.56.211.247.33055: 46220* 7/2/2 A 213.228.0.1,[|domain] (DF) > > > > 00:58:30.768633 81.56.211.247.33055 > 212.27.32.176.domain: 46221+ A? > > > > mrelay2-1.free.fr. (35) (DF) 00:58:30.827060 212.27.32.
Re: [Confirme] Pbl iptables + postfix
On Sat, 2003-04-05 at 00:02, Jean-Jacques Mérillon wrote: > Ca y est ca marche j'ai trouvé, le probleme c'est que pour envoyer un mail le > serveur smtp dois savoir ou l'envoyer et pour cela il communique avec le DNS d'ou > utilisation du port "domaine". > > Ainsi pour permettre l'envoie de SMTP il faut ouvrir le port 25 : > iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -m state --state > ESTABLISHED -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -m state --state > NEW,ESTABLISHED -j ACCEPT > > Et il faut aussi permettre les communication par le port 53 : > iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > > Merci a tous ceux qui m'ont aidé. Mon script iptables, depuis l'upgrade de 9.0 vers 9.1, ne fonctionne plus. La regle suivante ne passe plus : iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE Donc je l'ai commentée, mais le forwarding ne marche plus, il n'y a plus de LAN ;-(( Si quelq'un veut bien se pencher sur mon problème il redra heureuse toute la famille, C pas rien. Concrètement, si qq1 ici a une MDK 9.1 qui sert de l'ADSL à un réseau local, peut-il poster sa table de commandes iptables ? PS - je n'utilise aucun des outils MDK genre Control center car j'ai eu plein de PBs avec les fichiers de config' qu'il génère(ait) ça a du être réglé, mais de toute façon j'aime bien comprendre un peu ce qui se passe. Mais si on m'explique comment faire les choses normalement, alors je veux bien essayer... Bon, et mon Nautilus est toujours planté, mais c 1 autre histoire :-( Merci ! > > > > Le Vendredi 4 Avril 2003 19:12, vous avez écrit : > > Salut ! > > Déjà, c'est bien de l'extérieur (internet) que tu n'arrives pas à > > recevoir de mail, pas depuis ton LAN? > > Depuis cette machine, tu arrives a envoyer des mails ? > > > > Le ven 04/04/2003 à 00:09, Jean-Jacques Mérillon a écrit : > > > Je viens d'essayer en inversion les port sur INPUT et OUTPUT c'est pas > > > mieux :( Alors voici toute ma configue : > > > > > > Tout d'abord iptables-save me donne ceci : > > > > > > # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 > > > *filter > > > > > > :INPUT DROP [2:156] > > > :FORWARD DROP [0:0] > > > :OUTPUT DROP [0:0] > > > > > > -A INPUT -i lo -j ACCEPT > > > -A INPUT -i eth1 -j ACCEPT > > > > > > > > > -A INPUT -i ppp0 -p tcp -m tcp --dport 25 -m state --state > > > RELATED,ESTABLISHED -j ACCEPT > > > > Rajoute NEW dans l'état. > > > > Si c'est depuis ton LAN que tu n'arrives pas à envoyer de mail, rajoute: > > iptables -A INPUT -i eth0 --destination-port 25 -j ACCEPT > > iptables -A OUTPUT -o eth0 --source-port 25 -j ACCEPT > > (en considérant que l'interface de ton FW connectée au LAN est eth0) > > > > > -A FORWARD -i eth1 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j > > > ACCEPT -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j > > > ACCEPT -A OUTPUT -o lo -j ACCEPT > > > -A OUTPUT -o eth1 -j ACCEPT > > > -A OUTPUT -o ppp0 -p tcp -m tcp --sport 25 -m state --state > > > NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT > > > # Completed on Fri Apr 4 01:03:20 2003 > > > # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 > > > *nat > > > > > > :PREROUTING ACCEPT [69:7453] > > > :POSTROUTING ACCEPT [9:519] > > > :OUTPUT ACCEPT [33:1791] > > > > > > -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE > > > COMMIT > > > # Completed on Fri Apr 4 01:03:20 2003 > > > # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 > > > *mangle > > > > > > :PREROUTING ACCEPT [11798:3358141] > > > :INPUT ACCEPT [10974:3300935] > > > :FORWARD ACCEPT [824:57206] > > > :OUTPUT ACCEPT [10935:4638056] > > > :POSTROUTING ACCEPT [11735:4693990] > > > > > > COMMIT > > > # Completed on Fri Apr 4 01:03:20 2003 > > > > > > > > > Ensuite j'ai ouvert ous les ports > > > iptables -P INPUT ACCEPT > > > iptables -P OUTPUT ACCEPT > > > > > > Et j'ai snifé ma connexion ppp0 avec tcpdump le temps d'envoyer un mail > > > le resultat ci dessous: > > > > > > -> Question c quoi les domaine de 212.27.32.176.domain et c quoi ce port > > > 33055 ?? -> Cela vous eclaire sur la cause de mon pbl? > > > > Ici, le 33055, c'est ton port local ( bind() ) qui est connecté au port > > DNS distant. > > > > Pour le "domain", c'est uniquement la requête DNS. Il recherche le > > serveur de mail distant du domaine (enregistrement MX ici) > > Tu as dû envoyer un mail à une adresse [EMAIL PROTECTED] Il recherche > > donc le smtp de free pour envoyer le mail. > > > > > 00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain: 46219+ MX? > > > free.fr. (25) (DF) 00:58:30.706593 212.27.32.176.domain > > > > 81.56.211.247.33055: 46219* 9/2/14 MX mrelay3-2.free.fr. 50,[|domain] > > > (DF) 00:58
RE: [Confirme] Pbl iptables + postfix
Ceci est le resulta de tcpdump -i ppp0 (firewall desactivé) lors de l'envoie d'un mail de mon serveur SMTP (postifx) sur ma passerelle vers une adresse hebergée chez free Je voudrais savoir a quoi (quel port) correspond le "domain" dans les premieres ligne et qu'elle est la raison de cette communication entre mon serveur et les machines de FREE (qui est mon FAI). Il semblerai qu'il y ai une negociation entre mon SMTP et Free avant que mon SMTP n'envoie reelement les données, comme mon FireWall ne laisse passer que les trames sur le port 25 cette negociation echoue empechant mon SMTP d'envoyer le mail. Mais je n'ai aucune idée de ce qu'est cette negociation et quelle port elle utilise. (A tout hasard est ce que cette nogociation ne serait pas la recherche du destinateire de l'adresse (jjmerillon(AT)free.fr) sur laquelle j'envoie un mail ??? Cette idée m'est venue au moment ou je tapai ces lignes :) ) Merci d'eclairer ma lanterne. 00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain: 46219+ MX? free.fr. (25) (DF) 00:58:30.706593 212.27.32.176.domain > 81.56.211.247.33055: 46219* 9/2/14 MX mrelay3-2.free.fr. 50,[|domain] (DF) 00:58:30.707398 81.56.211.247.33055 > 212.27.32.176.domain: 46220+ A? mx.free.fr. (28) (DF) 00:58:30.768073 212.27.32.176.domain > 81.56.211.247.33055: 46220* 7/2/2 A 213.228.0.1,[|domain] (DF) 00:58:30.768633 81.56.211.247.33055 > 212.27.32.176.domain: 46221+ A? mrelay2-1.free.fr. (35) (DF) 00:58:30.827060 212.27.32.176.domain > 81.56.211.247.33055: 46221* 1/2/2 A 213.228.0.13 (129) (DF) 00:58:30.827558 81.56.211.247.33055 > 212.27.32.176.domain: 46222+ A? mrelay2-2.free.fr. (35) (DF) 00:58:30.886810 212.27.32.176.domain > 81.56.211.247.33055: 46222* 1/2/2 A 213.228.0.131 (129) (DF) 00:58:30.887318 81.56.211.247.33055 > 212.27.32.176.domain: 46223+ A? mx1-1.free.fr. (31) (DF) 00:58:30.949990 212.27.32.176.domain > 81.56.211.247.33055: 46223* 1/2/2 A 213.228.0.65 (125) (DF) 00:58:30.950473 81.56.211.247.33055 > 212.27.32.176.domain: 46224+ A? mrelay3-2.free.fr. (35) (DF) 00:58:31.011810 212.27.32.176.domain > 81.56.211.247.33055: 46224* 1/2/2 A 213.228.0.166 (129) (DF) 00:58:31.012297 81.56.211.247.33055 > 212.27.32.176.domain: 46225+ A? mrelay4-2.free.fr. (35) (DF) 00:58:31.072945 212.27.32.176.domain > 81.56.211.247.33055: 46225* 1/2/2 A 213.228.0.175 (129) (DF) 00:58:31.073430 81.56.211.247.33055 > 212.27.32.176.domain: 46226+ A? mrelay1-1.free.fr. (35) (DF) 00:58:31.132704 212.27.32.176.domain > 81.56.211.247.33055: 46226* 1/2/2 A 213.228.0.1 (129) (DF) 00:58:31.133179 81.56.211.247.33055 > 212.27.32.176.domain: 46227+ A? mrelay1-2.free.fr. (35) (DF) 00:58:31.192453 212.27.32.176.domain > 81.56.211.247.33055: 46227* 1/2/2 A 213.228.0.129 (129) (DF) 00:58:31.192939 81.56.211.247.33055 > 212.27.32.176.domain: 46228+ A? ns1.proxad.net. (32) (DF) 00:58:31.251505 212.27.32.176.domain > 81.56.211.247.33055: 46228* 1/2/2 A 212.27.32.130 (112) (DF) 00:58:31.251952 81.56.211.247.32819 > 213.228.0.175.smtp: S 741887251:741887251(0) win 5808 (DF) 00:58:31.309820 213.228.0.175.smtp > 81.56.211.247.32819: S 1140293823:1140293823(0) ack 741887252 win 5792 (DF) 00:58:31.309896 81.56.211.247.32819 > 213.228.0.175.smtp: . ack 1 win 5808 (DF) 00:58:31.375071 213.228.0.175.smtp > 81.56.211.247.32819: P 1:30(29) ack 1 win 5792 (DF) 00:58:31.375119 81.56.211.247.32819 > 213.228.0.175.smtp: . ack 30 win 5808 (DF) 00:58:31.375514 81.56.211.247.32819 > 213.228.0.175.smtp: P 1:24(23) ack 30 win 5808 (DF) 00:58:31.439611 213.228.0.175.smtp > 81.56.211.247.32819: . ack 24 win 5792 (DF) 00:58:31.443771 213.228.0.175.smtp > 81.56.211.247.32819: P 30:83(53) ack 24 win 5792 (DF) 00:58:31.443961 81.56.211.247.32819 > 213.228.0.175.smtp: P 24:86(62) ack 83 win 5808 (DF) 00:58:31.509681 213.228.0.175.smtp > 81.56.211.247.32819: P 83:113(30) ack 86 win 5792 (DF) 00:58:31.509998 81.56.211.247.32819 > 213.228.0.175.smtp: P 86:395(309) ack 113 win 5808 (DF) 00:58:31.587987 213.228.0.175.smtp > 81.56.211.247.32819: P 113:141(28) ack 395 win 6432 (DF) 00:58:31.588405 81.56.211.247.32819 > 213.228.0.175.smtp: F 395:395(0) ack 141 win 5808 (DF) 00:58:31.591448 213.228.0.175.smtp > 81.56.211.247.32819: FP 141:164(23) ack 395 win 6432 (DF) 00:58:31.591554 81.56.211.247.32819 > 213.228.0.175.smtp: R 741887646:741887646(0) win 0 (DF) 00:58:31.642904 213.228.0.175.smtp > 81.56.211.247.32819: . ack 396 win 6432 (DF) 00:58:31.642940 81.56.211.247.32819 > 213.228.0.175.smtp: R 741887647:741887647(0) win 0 (DF) Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Pbl iptables + postfix
Ca y est ca marche j'ai trouvé, le probleme c'est que pour envoyer un mail le serveur smtp dois savoir ou l'envoyer et pour cela il communique avec le DNS d'ou utilisation du port "domaine". Ainsi pour permettre l'envoie de SMTP il faut ouvrir le port 25 : iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -m state --state NEW,ESTABLISHED -j ACCEPT Et il faut aussi permettre les communication par le port 53 : iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT Merci a tous ceux qui m'ont aidé. Le Vendredi 4 Avril 2003 19:12, vous avez écrit : > Salut ! > Déjà, c'est bien de l'extérieur (internet) que tu n'arrives pas à > recevoir de mail, pas depuis ton LAN? > Depuis cette machine, tu arrives a envoyer des mails ? > > Le ven 04/04/2003 à 00:09, Jean-Jacques Mérillon a écrit : > > Je viens d'essayer en inversion les port sur INPUT et OUTPUT c'est pas > > mieux :( Alors voici toute ma configue : > > > > Tout d'abord iptables-save me donne ceci : > > > > # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 > > *filter > > > > :INPUT DROP [2:156] > > :FORWARD DROP [0:0] > > :OUTPUT DROP [0:0] > > > > -A INPUT -i lo -j ACCEPT > > -A INPUT -i eth1 -j ACCEPT > > > > > > -A INPUT -i ppp0 -p tcp -m tcp --dport 25 -m state --state > > RELATED,ESTABLISHED -j ACCEPT > > Rajoute NEW dans l'état. > > Si c'est depuis ton LAN que tu n'arrives pas à envoyer de mail, rajoute: > iptables -A INPUT -i eth0 --destination-port 25 -j ACCEPT > iptables -A OUTPUT -o eth0 --source-port 25 -j ACCEPT > (en considérant que l'interface de ton FW connectée au LAN est eth0) > > > -A FORWARD -i eth1 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j > > ACCEPT -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j > > ACCEPT -A OUTPUT -o lo -j ACCEPT > > -A OUTPUT -o eth1 -j ACCEPT > > -A OUTPUT -o ppp0 -p tcp -m tcp --sport 25 -m state --state > > NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT > > # Completed on Fri Apr 4 01:03:20 2003 > > # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 > > *nat > > > > :PREROUTING ACCEPT [69:7453] > > :POSTROUTING ACCEPT [9:519] > > :OUTPUT ACCEPT [33:1791] > > > > -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE > > COMMIT > > # Completed on Fri Apr 4 01:03:20 2003 > > # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 > > *mangle > > > > :PREROUTING ACCEPT [11798:3358141] > > :INPUT ACCEPT [10974:3300935] > > :FORWARD ACCEPT [824:57206] > > :OUTPUT ACCEPT [10935:4638056] > > :POSTROUTING ACCEPT [11735:4693990] > > > > COMMIT > > # Completed on Fri Apr 4 01:03:20 2003 > > > > > > Ensuite j'ai ouvert ous les ports > > iptables -P INPUT ACCEPT > > iptables -P OUTPUT ACCEPT > > > > Et j'ai snifé ma connexion ppp0 avec tcpdump le temps d'envoyer un mail > > le resultat ci dessous: > > > > -> Question c quoi les domaine de 212.27.32.176.domain et c quoi ce port > > 33055 ?? -> Cela vous eclaire sur la cause de mon pbl? > > Ici, le 33055, c'est ton port local ( bind() ) qui est connecté au port > DNS distant. > > Pour le "domain", c'est uniquement la requête DNS. Il recherche le > serveur de mail distant du domaine (enregistrement MX ici) > Tu as dû envoyer un mail à une adresse [EMAIL PROTECTED] Il recherche > donc le smtp de free pour envoyer le mail. > > > 00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain: 46219+ MX? > > free.fr. (25) (DF) 00:58:30.706593 212.27.32.176.domain > > > 81.56.211.247.33055: 46219* 9/2/14 MX mrelay3-2.free.fr. 50,[|domain] > > (DF) 00:58:30.707398 81.56.211.247.33055 > 212.27.32.176.domain: 46220+ > > A? mx.free.fr. (28) (DF) 00:58:30.768073 212.27.32.176.domain > > > 81.56.211.247.33055: 46220* 7/2/2 A 213.228.0.1,[|domain] (DF) > > 00:58:30.768633 81.56.211.247.33055 > 212.27.32.176.domain: 46221+ A? > > mrelay2-1.free.fr. (35) (DF) 00:58:30.827060 212.27.32.176.domain > > > 81.56.211.247.33055: 46221* 1/2/2 A 213.228.0.13 (129) (DF) > > 00:58:30.827558 81.56.211.247.33055 > 212.27.32.176.domain: 46222+ A? > > mrelay2-2.free.fr. (35) (DF) 00:58:30.886810 212.27.32.176.domain > > > 81.56.211.247.33055: 46222* 1/2/2 A 213.228.0.131 (129) (DF) > > 00:58:30.887318 81.56.211.247.33055 > 212.27.32.176.domain: 46223+ A? > > mx1-1.free.fr. (31) (DF) 00:58:30.949990 212.27.32.176.domain > > > 81.56.211.247.33055: 46223* 1/2/2 A 213.228.0.65 (125) (DF) > > 00:58:30.950473 81.56.211.247.33055 > 212.27.32.176.domain: 46224+ A? > > mrelay3-2.free.fr. (35) (DF) 00:58:31.011810 212.27.32.176.domain > > > 81.56.211.247.33055: 46224* 1/2/2 A 213.228.0.166 (129) (DF) > > 00:58:31.012297 81.56.211.247.33055 > 212.27.32.176.domain: 46225+ A? > > mrelay4-
Re: [Confirme] Pbl iptables + postfix
Je viens d'essayer en inversion les port sur INPUT et OUTPUT c'est pas mieux :( Alors voici toute ma configue : Tout d'abord iptables-save me donne ceci : # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 *filter :INPUT DROP [2:156] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth1 -j ACCEPT -A OUTPUT -o ppp0 -p tcp -m tcp --sport 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Fri Apr 4 01:03:20 2003 # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 *nat :PREROUTING ACCEPT [69:7453] :POSTROUTING ACCEPT [9:519] :OUTPUT ACCEPT [33:1791] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE COMMIT # Completed on Fri Apr 4 01:03:20 2003 # Generated by iptables-save v1.2.7a on Fri Apr 4 01:03:20 2003 *mangle :PREROUTING ACCEPT [11798:3358141] :INPUT ACCEPT [10974:3300935] :FORWARD ACCEPT [824:57206] :OUTPUT ACCEPT [10935:4638056] :POSTROUTING ACCEPT [11735:4693990] COMMIT # Completed on Fri Apr 4 01:03:20 2003 Ensuite j'ai ouvert ous les ports iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT Et j'ai snifé ma connexion ppp0 avec tcpdump le temps d'envoyer un mail le resultat ci dessous: -> Question c quoi les domaine de 212.27.32.176.domain et c quoi ce port 33055 ?? -> Cela vous eclaire sur la cause de mon pbl? 00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain: 46219+ MX? free.fr. (25) (DF) 00:58:30.706593 212.27.32.176.domain > 81.56.211.247.33055: 46219* 9/2/14 MX mrelay3-2.free.fr. 50,[|domain] (DF) 00:58:30.707398 81.56.211.247.33055 > 212.27.32.176.domain: 46220+ A? mx.free.fr. (28) (DF) 00:58:30.768073 212.27.32.176.domain > 81.56.211.247.33055: 46220* 7/2/2 A 213.228.0.1,[|domain] (DF) 00:58:30.768633 81.56.211.247.33055 > 212.27.32.176.domain: 46221+ A? mrelay2-1.free.fr. (35) (DF) 00:58:30.827060 212.27.32.176.domain > 81.56.211.247.33055: 46221* 1/2/2 A 213.228.0.13 (129) (DF) 00:58:30.827558 81.56.211.247.33055 > 212.27.32.176.domain: 46222+ A? mrelay2-2.free.fr. (35) (DF) 00:58:30.886810 212.27.32.176.domain > 81.56.211.247.33055: 46222* 1/2/2 A 213.228.0.131 (129) (DF) 00:58:30.887318 81.56.211.247.33055 > 212.27.32.176.domain: 46223+ A? mx1-1.free.fr. (31) (DF) 00:58:30.949990 212.27.32.176.domain > 81.56.211.247.33055: 46223* 1/2/2 A 213.228.0.65 (125) (DF) 00:58:30.950473 81.56.211.247.33055 > 212.27.32.176.domain: 46224+ A? mrelay3-2.free.fr. (35) (DF) 00:58:31.011810 212.27.32.176.domain > 81.56.211.247.33055: 46224* 1/2/2 A 213.228.0.166 (129) (DF) 00:58:31.012297 81.56.211.247.33055 > 212.27.32.176.domain: 46225+ A? mrelay4-2.free.fr. (35) (DF) 00:58:31.072945 212.27.32.176.domain > 81.56.211.247.33055: 46225* 1/2/2 A 213.228.0.175 (129) (DF) 00:58:31.073430 81.56.211.247.33055 > 212.27.32.176.domain: 46226+ A? mrelay1-1.free.fr. (35) (DF) 00:58:31.132704 212.27.32.176.domain > 81.56.211.247.33055: 46226* 1/2/2 A 213.228.0.1 (129) (DF) 00:58:31.133179 81.56.211.247.33055 > 212.27.32.176.domain: 46227+ A? mrelay1-2.free.fr. (35) (DF) 00:58:31.192453 212.27.32.176.domain > 81.56.211.247.33055: 46227* 1/2/2 A 213.228.0.129 (129) (DF) 00:58:31.192939 81.56.211.247.33055 > 212.27.32.176.domain: 46228+ A? ns1.proxad.net. (32) (DF) 00:58:31.251505 212.27.32.176.domain > 81.56.211.247.33055: 46228* 1/2/2 A 212.27.32.130 (112) (DF) 00:58:31.251952 81.56.211.247.32819 > 213.228.0.175.smtp: S 741887251:741887251(0) win 5808 (DF) 00:58:31.309820 213.228.0.175.smtp > 81.56.211.247.32819: S 1140293823:1140293823(0) ack 741887252 win 5792 (DF) 00:58:31.309896 81.56.211.247.32819 > 213.228.0.175.smtp: . ack 1 win 5808 (DF) 00:58:31.375071 213.228.0.175.smtp > 81.56.211.247.32819: P 1:30(29) ack 1 win 5792 (DF) 00:58:31.375119 81.56.211.247.32819 > 213.228.0.175.smtp: . ack 30 win 5808 (DF) 00:58:31.375514 81.56.211.247.32819 > 213.228.0.175.smtp: P 1:24(23) ack 30 win 5808 (DF) 00:58:31.439611 213.228.0.175.smtp > 81.56.211.247.32819: . ack 24 win 5792 (DF) 00:58:31.443771 213.228.0.175.smtp > 81.56.211.247.32819: P 30:83(53) ack 24 win 5792 (DF) 00:58:31.443961 81.56.211.247.32819 > 213.228.0.175.smtp: P 24:86(62) ack 83 win 5808 (DF) 00:58:31.509681 213.228.0.175.smtp > 81.56.211.247.32819: P 83:113(30) ack 86 win 5792 (DF) 00:58:31.509998 81.56.211.247.32819 > 213.228.0.175.smtp: P 86:395(309) ack 113 win 5808 (DF) 00:58:31.587987 213.228.0.175.smtp > 81.56.211.247.32819: P 113:141(28) ack 395 win 6432 (DF) 00:58:31.588405 81.56.211.247.32819 > 213.228.0.175.smtp: F 395:395(0) ack 141 win 5808 (DF) 00:58:31.591448 213.228.0.175.smtp > 81.56.211.247.32819: FP 141:164(23) ack 395 win 6432 (DF) 00:58:31.591554 81.56.211.247.
Re: [Confirme] Pbl iptables + postfix
Pardon, faute de frappe (copier/coller), remplace le -i par -o pr le OUTPUT... Ce qui n'allait pas ds ton script précédent, c'est que tu avais inversé --source-port et --destination-port... Ce qui rentre sur le firewall, et qu'il faut autoriser (dans le INPUT), c'est les --destination-port 25 (vers ton smtp), tu avais mis l'inverse... Et ce qui sort du FW (donc, du srv smtp vers le client), c'est envoyé par ton smtp, donc par le port 25 d'où le --source-port 25... Voilà. Bonne soirée. Pierre Le jeu 03/04/2003 à 16:06, clocard a écrit : > salut, > > > Le Jeudi 3 Avril 2003 14:37, Pierre BETOUIN a écrit : > > iptables -A INPUT -i ppp0 --protocol tcp --destination-port 25 -j ACCEPT > > # Les paquets entrent sur le 25... > > > > iptables -A OUTPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT > > # Les paquets sortent pas le 25... > > Or on a deja eu cette proposition : > > > iptables -A OUTPUT -o ppp0 --protocol tcp --source-port 25 -j ACCEPT > > Comme le man iptables indique : > >-i, --in-interface [!] name > Name of an interface via which a packet is going to be received > (only for packets entering the INPUT, FORWARD and PREROUTING > chains). When the "!" argument is used before the interface > name, the sense is inverted. If the interface name ends in a > "+", then any interface which begins with this name will match. > If this option is omitted, any interface name will match. > >-o, --out-interface [!] name > Name of an interface via which a packet is going to be sent (for > packets entering the FORWARD, OUTPUT and POSTROUTING chains). > When the "!" argument is used before the interface name, the > sense is inverted. If the interface name ends in a "+", then > any interface which begins with this name will match. If this > option is omitted, any interface name will match. > > > alors es-tu sur de ton option -i pour ton interface de sortie ? et si oui, > alors j'aimerai bien comprendre la difference ... > XB. -- Pierre BETOUIN GnuPG key : lynx -dump perso.club-internet.fr/unsignedchr/GnupgKey.asc | gpg --import signature.asc Description: PGP signature
Re: [Confirme] Pbl iptables + postfix
salut, Le Jeudi 3 Avril 2003 14:37, Pierre BETOUIN a écrit : > iptables -A INPUT -i ppp0 --protocol tcp --destination-port 25 -j ACCEPT > # Les paquets entrent sur le 25... > > iptables -A OUTPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT > # Les paquets sortent pas le 25... Or on a deja eu cette proposition : > iptables -A OUTPUT -o ppp0 --protocol tcp --source-port 25 -j ACCEPT Comme le man iptables indique : -i, --in-interface [!] name Name of an interface via which a packet is going to be received (only for packets entering the INPUT, FORWARD and PREROUTING chains). When the "!" argument is used before the interface name, the sense is inverted. If the interface name ends in a "+", then any interface which begins with this name will match. If this option is omitted, any interface name will match. -o, --out-interface [!] name Name of an interface via which a packet is going to be sent (for packets entering the FORWARD, OUTPUT and POSTROUTING chains). When the "!" argument is used before the interface name, the sense is inverted. If the interface name ends in a "+", then any interface which begins with this name will match. If this option is omitted, any interface name will match. alors es-tu sur de ton option -i pour ton interface de sortie ? et si oui, alors j'aimerai bien comprendre la difference ... XB. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Pbl iptables + postfix
Salut ! Le jeu 03/04/2003 à 10:23, MERILLON JEAN-JACQUES a écrit : > je ne pense pas que le RELATED soit la cause du non fonctionnement, j'ai > essayé : > > iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT C'est normal que ça ne passe pas... C'est le port 25 de chez toi vers les clients, pas l'inverse... Avec les politiques suivantes : --- iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Mets : -- iptables -A INPUT -i ppp0 --protocol tcp --destination-port 25 -j ACCEPT # Les paquets entrent sur le 25... iptables -A OUTPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT # Les paquets sortent pas le 25... > Qui devrait tout laisser passer en tcp sur le port 25 et ca ne marche pas > non plus :( > > Question subsidiaire : comment loger toutes les regles DROPEES par iptables > ??? 'man iptables' te renseignera sur les autres options mais en gros, voilà l'utilisation : Ex : (ici pr les nvx paquets sans SYN...) iptables -A INPUT -p tcp -m state --state NEW ! --syn -m limit --limit 3/s -j LOG --log-prefix "ici le prefixe" -- Pierre BETOUIN <[EMAIL PROTECTED]> signature.asc Description: PGP signature
RE: [Confirme] Pbl iptables + postfix
je ne pense pas que le RELATED soit la cause du non fonctionnement, j'ai essayé : iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT Qui devrait tout laisser passer en tcp sur le port 25 et ca ne marche pas non plus :( Question subsidiaire : comment loger toutes les regles DROPEES par iptables ??? > Le Jeudi 03 Avril 2003 03:29, Jean-Jacques Mérillon a écrit : > > Bonjour > > > > J'ai configuré mon serveur SMTP postfix ur ma passerelle, mais > > malheureusement il semble ne vouloir envoyer les mails que > quand j'ouvre ma > > machine a toutes les connexions : > > iptables -P INPUT ACCEPT > > iptables -p OUTPUT ACCEPT > > > > si je configure de cette façon : > > iptables -P INPUT DROP > > iptables -p OUTPUT DROP > > > > iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 > -m state --state > > ESTABLISHED -j ACCEPT > Sur cette ligne il doit te manquer quelque chose, style > RELATED, parce que la > première fois que le serveur distant répond, la connexion > n'est pas encore > ESTABLISHED justement, puis qu'il répond pour l'établir. > > Enfin c'est juste un idée. > > > > iptables -A OUTPUT -o ppp0 --protocol tcp > --destination-port 25 -m state > > --state NEW,ESTABLISHED -j ACCEPT > > -- > Linux pour Mac !? Enfin le moyen de transformer > une pomme en véritable ordinateur. - JL. > Olivier Thauvin - http://nanardon.homelinux.org/ > > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Pbl iptables + postfix
Le Jeudi 03 Avril 2003 03:29, Jean-Jacques Mérillon a écrit : > Bonjour > > J'ai configuré mon serveur SMTP postfix ur ma passerelle, mais > malheureusement il semble ne vouloir envoyer les mails que quand j'ouvre ma > machine a toutes les connexions : > iptables -P INPUT ACCEPT > iptables -p OUTPUT ACCEPT > > si je configure de cette façon : > iptables -P INPUT DROP > iptables -p OUTPUT DROP > > iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -m state --state > ESTABLISHED -j ACCEPT Sur cette ligne il doit te manquer quelque chose, style RELATED, parce que la première fois que le serveur distant répond, la connexion n'est pas encore ESTABLISHED justement, puis qu'il répond pour l'établir. Enfin c'est juste un idée. > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -m state > --state NEW,ESTABLISHED -j ACCEPT -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";