subject:"RE\: \[Confirme\] Pbl iptables \+ postfix"

Re: [Confirme] Pbl iptables + postfix

2003-04-05 Par sujet Philippe Usenet

On Sat, 2003-04-05 at 17:03, JAGOT Vincent wrote:
> Salut !

Hiyo !

> 
> J'ai trouvé une solution un peu "bourrin" mais en tout cas, ca
> fonctionne chez moi.
eh ben chez moi aussi, et ça C KOOL !!

> 
> J'ai juste désinstallé le rpm iptables de Mdk9.1 pour installer la
> version de Mdk 9.0. (1.2.7a -> 1.2.6a)

Damn ! Pas tres satisfaisant, mais bon, comme on dit "if it ai'nt broken
don't fix it !"

> 
> Pour l'instant, je ne sais pas quelles seront les conséquences mais ca
> marche !
> 
Tu m'étonnes ! Enfin une idée ! En 24 heures, bon score :)

Merci, vraiment !

> Puis-je me mettre maintenant de faire des Mise à jour par Internet ? ?
> 

Ben je sais pas. Au passage heureusement qu'iptables n'est pas "attaché"
à d'autres packages (?!?) sion la manip' aurait été encore + crado ;)

C à D, je pourrai pas faire la me chose pour nautilus, je suppose... C
même sur. Shit. Une ID ??

> A+
> 
> Vincent
> 

Ciao, merci encore

pX

-- 
pubkey  1024D/152F3376   Jabber:xaccrocheur
<-
http://www.halluci.net
>ICQ:1858180

Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] Pbl iptables + postfix

2003-04-05 Par sujet JAGOT Vincent

Salut !

J'ai trouvé une solution un peu "bourrin" mais en tout cas, ca
fonctionne chez moi.

J'ai juste désinstallé le rpm iptables de Mdk9.1 pour installer la
version de Mdk 9.0. (1.2.7a -> 1.2.6a)

Pour l'instant, je ne sais pas quelles seront les conséquences mais ca
marche !

Puis-je me mettre maintenant de faire des Mise à jour par Internet ? ?

A+

Vincent



> Mon script iptables, depuis l'upgrade de 9.0 vers 9.1, ne fonctionne
> plus.
> 
> La regle suivante ne passe plus :
> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
> 
> Donc je l'ai commentée, mais le forwarding ne marche plus, il n'y a plus
> de LAN ;-((
> 
> Si quelq'un veut bien se pencher sur mon problème il redra heureuse
> toute la famille, C pas rien.
> 
> Concrètement, si qq1 ici a une MDK 9.1 qui sert de l'ADSL à un réseau
> local, peut-il poster sa table de commandes iptables ?
> 
> PS - je n'utilise aucun des outils MDK genre Control center car j'ai eu
> plein de PBs avec les fichiers de config' qu'il génère(ait) ça a du être
> réglé, mais de toute façon j'aime bien comprendre un peu ce qui se
> passe. Mais si on m'explique comment faire les choses normalement, alors
> je veux bien essayer...
> 
> Bon, et mon Nautilus est toujours planté, mais c 1 autre histoire :-(
> 
> Merci !
> 
> > 
> > 
> > 
> > Le Vendredi 4 Avril 2003 19:12, vous avez écrit :
> > >   Salut !
> > > Déjà, c'est bien de l'extérieur (internet) que tu n'arrives pas à
> > > recevoir de mail, pas depuis ton LAN?
> > > Depuis cette machine, tu arrives a envoyer des mails ?
> > >
> > > Le ven 04/04/2003 à 00:09, Jean-Jacques Mérillon a écrit :
> > > > Je viens d'essayer en inversion les port sur INPUT et OUTPUT c'est pas
> > > > mieux :( Alors voici toute ma configue :
> > > >
> > > > Tout d'abord iptables-save me donne ceci :
> > > >
> > > > # Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
> > > > *filter
> > > >
> > > > :INPUT DROP [2:156]
> > > > :FORWARD DROP [0:0]
> > > > :OUTPUT DROP [0:0]
> > > >
> > > > -A INPUT -i lo -j ACCEPT
> > > > -A INPUT -i eth1 -j ACCEPT
> > > >
> > > >
> > > > -A INPUT -i ppp0 -p tcp -m tcp --dport 25 -m state --state
> > > > RELATED,ESTABLISHED -j ACCEPT
> > >
> > > Rajoute NEW dans l'état.
> > >
> > > Si c'est depuis ton LAN que tu n'arrives pas à envoyer de mail, rajoute:
> > > iptables -A INPUT -i eth0 --destination-port 25 -j ACCEPT
> > > iptables -A OUTPUT -o eth0 --source-port 25 -j ACCEPT
> > > (en considérant que l'interface de ton FW connectée au LAN est eth0)
> > >
> > > > -A FORWARD -i eth1 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j
> > > > ACCEPT -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j
> > > > ACCEPT -A OUTPUT -o lo -j ACCEPT
> > > > -A OUTPUT -o eth1 -j ACCEPT
> > > > -A OUTPUT -o ppp0 -p tcp -m tcp --sport 25 -m state --state
> > > > NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT
> > > > # Completed on Fri Apr  4 01:03:20 2003
> > > > # Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
> > > > *nat
> > > >
> > > > :PREROUTING ACCEPT [69:7453]
> > > > :POSTROUTING ACCEPT [9:519]
> > > > :OUTPUT ACCEPT [33:1791]
> > > >
> > > > -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
> > > > COMMIT
> > > > # Completed on Fri Apr  4 01:03:20 2003
> > > > # Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
> > > > *mangle
> > > >
> > > > :PREROUTING ACCEPT [11798:3358141]
> > > > :INPUT ACCEPT [10974:3300935]
> > > > :FORWARD ACCEPT [824:57206]
> > > > :OUTPUT ACCEPT [10935:4638056]
> > > > :POSTROUTING ACCEPT [11735:4693990]
> > > >
> > > > COMMIT
> > > > # Completed on Fri Apr  4 01:03:20 2003
> > > >
> > > >
> > > > Ensuite j'ai ouvert ous les ports
> > > > iptables -P INPUT ACCEPT
> > > > iptables -P OUTPUT ACCEPT
> > > >
> > > > Et j'ai snifé ma connexion ppp0 avec tcpdump le temps d'envoyer un mail
> > > > le resultat ci dessous:
> > > >
> > > > -> Question c quoi les domaine de 212.27.32.176.domain et c quoi ce port
> > > > 33055 ?? -> Cela vous eclaire sur la cause de mon pbl?
> > >
> > > Ici, le 33055, c'est ton port local ( bind() ) qui est connecté au port
> > > DNS distant.
> > >
> > > Pour le "domain", c'est uniquement la requête DNS. Il recherche le
> > > serveur de mail distant du domaine (enregistrement MX ici)
> > > Tu as dû envoyer un mail à une adresse [EMAIL PROTECTED] Il recherche
> > > donc le smtp de free pour envoyer le mail.
> > >
> > > > 00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain:  46219+ MX?
> > > > free.fr. (25) (DF) 00:58:30.706593 212.27.32.176.domain >
> > > > 81.56.211.247.33055:  46219* 9/2/14 MX mrelay3-2.free.fr. 50,[|domain]
> > > > (DF) 00:58:30.707398 81.56.211.247.33055 > 212.27.32.176.domain:  46220+
> > > > A? mx.free.fr. (28) (DF) 00:58:30.768073 212.27.32.176.domain >
> > > > 81.56.211.247.33055:  46220* 7/2/2 A 213.228.0.1,[|domain] (DF)
> > > > 00:58:30.768633 81.56.211.247.33055 > 212.27.32.176.domain:  46221+ A?
> > > > mrelay2-1.free.fr. (35) (DF) 00:58:30.827060 212.27.32.

Re: [Confirme] Pbl iptables + postfix

2003-04-05 Par sujet Philippe Usenet

On Sat, 2003-04-05 at 00:02, Jean-Jacques Mérillon wrote:
> Ca y est ca marche j'ai trouvé, le probleme c'est que pour envoyer un mail le 
> serveur smtp dois savoir ou l'envoyer et pour cela il communique avec le DNS d'ou 
> utilisation du port "domaine".
> 
> Ainsi pour permettre l'envoie de SMTP il faut ouvrir le port 25 :
> iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -m state --state 
> ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -m state --state 
> NEW,ESTABLISHED -j ACCEPT
> 
> Et il faut aussi permettre les communication par le port 53 :
> iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT
> iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
> iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT
> iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT
> 
> Merci a tous ceux qui m'ont aidé. 

Mon script iptables, depuis l'upgrade de 9.0 vers 9.1, ne fonctionne
plus.

La regle suivante ne passe plus :
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Donc je l'ai commentée, mais le forwarding ne marche plus, il n'y a plus
de LAN ;-((

Si quelq'un veut bien se pencher sur mon problème il redra heureuse
toute la famille, C pas rien.

Concrètement, si qq1 ici a une MDK 9.1 qui sert de l'ADSL à un réseau
local, peut-il poster sa table de commandes iptables ?

PS - je n'utilise aucun des outils MDK genre Control center car j'ai eu
plein de PBs avec les fichiers de config' qu'il génère(ait) ça a du être
réglé, mais de toute façon j'aime bien comprendre un peu ce qui se
passe. Mais si on m'explique comment faire les choses normalement, alors
je veux bien essayer...

Bon, et mon Nautilus est toujours planté, mais c 1 autre histoire :-(

Merci !

> 
> 
> 
> Le Vendredi 4 Avril 2003 19:12, vous avez écrit :
> > Salut !
> > Déjà, c'est bien de l'extérieur (internet) que tu n'arrives pas à
> > recevoir de mail, pas depuis ton LAN?
> > Depuis cette machine, tu arrives a envoyer des mails ?
> >
> > Le ven 04/04/2003 à 00:09, Jean-Jacques Mérillon a écrit :
> > > Je viens d'essayer en inversion les port sur INPUT et OUTPUT c'est pas
> > > mieux :( Alors voici toute ma configue :
> > >
> > > Tout d'abord iptables-save me donne ceci :
> > >
> > > # Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
> > > *filter
> > >
> > > :INPUT DROP [2:156]
> > > :FORWARD DROP [0:0]
> > > :OUTPUT DROP [0:0]
> > >
> > > -A INPUT -i lo -j ACCEPT
> > > -A INPUT -i eth1 -j ACCEPT
> > >
> > >
> > > -A INPUT -i ppp0 -p tcp -m tcp --dport 25 -m state --state
> > > RELATED,ESTABLISHED -j ACCEPT
> >
> > Rajoute NEW dans l'état.
> >
> > Si c'est depuis ton LAN que tu n'arrives pas à envoyer de mail, rajoute:
> > iptables -A INPUT -i eth0 --destination-port 25 -j ACCEPT
> > iptables -A OUTPUT -o eth0 --source-port 25 -j ACCEPT
> > (en considérant que l'interface de ton FW connectée au LAN est eth0)
> >
> > > -A FORWARD -i eth1 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j
> > > ACCEPT -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j
> > > ACCEPT -A OUTPUT -o lo -j ACCEPT
> > > -A OUTPUT -o eth1 -j ACCEPT
> > > -A OUTPUT -o ppp0 -p tcp -m tcp --sport 25 -m state --state
> > > NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT
> > > # Completed on Fri Apr  4 01:03:20 2003
> > > # Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
> > > *nat
> > >
> > > :PREROUTING ACCEPT [69:7453]
> > > :POSTROUTING ACCEPT [9:519]
> > > :OUTPUT ACCEPT [33:1791]
> > >
> > > -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
> > > COMMIT
> > > # Completed on Fri Apr  4 01:03:20 2003
> > > # Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
> > > *mangle
> > >
> > > :PREROUTING ACCEPT [11798:3358141]
> > > :INPUT ACCEPT [10974:3300935]
> > > :FORWARD ACCEPT [824:57206]
> > > :OUTPUT ACCEPT [10935:4638056]
> > > :POSTROUTING ACCEPT [11735:4693990]
> > >
> > > COMMIT
> > > # Completed on Fri Apr  4 01:03:20 2003
> > >
> > >
> > > Ensuite j'ai ouvert ous les ports
> > > iptables -P INPUT ACCEPT
> > > iptables -P OUTPUT ACCEPT
> > >
> > > Et j'ai snifé ma connexion ppp0 avec tcpdump le temps d'envoyer un mail
> > > le resultat ci dessous:
> > >
> > > -> Question c quoi les domaine de 212.27.32.176.domain et c quoi ce port
> > > 33055 ?? -> Cela vous eclaire sur la cause de mon pbl?
> >
> > Ici, le 33055, c'est ton port local ( bind() ) qui est connecté au port
> > DNS distant.
> >
> > Pour le "domain", c'est uniquement la requête DNS. Il recherche le
> > serveur de mail distant du domaine (enregistrement MX ici)
> > Tu as dû envoyer un mail à une adresse [EMAIL PROTECTED] Il recherche
> > donc le smtp de free pour envoyer le mail.
> >
> > > 00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain:  46219+ MX?
> > > free.fr. (25) (DF) 00:58:30.706593 212.27.32.176.domain >
> > > 81.56.211.247.33055:  46219* 9/2/14 MX mrelay3-2.free.fr. 50,[|domain]
> > > (DF) 00:58

RE: [Confirme] Pbl iptables + postfix

2003-04-04 Par sujet MERILLON JEAN-JACQUES

Ceci est le resulta de tcpdump -i ppp0 (firewall desactivé) lors de l'envoie
d'un mail de mon serveur SMTP (postifx) sur ma passerelle vers une adresse
hebergée chez free

Je voudrais savoir a quoi (quel port) correspond le "domain" dans les
premieres ligne et qu'elle est la raison de cette communication entre mon
serveur et les machines de FREE (qui est mon FAI).

Il semblerai qu'il y ai une negociation entre mon SMTP et Free avant que mon
SMTP n'envoie reelement les données, comme mon FireWall ne laisse passer que
les trames sur le port 25 cette negociation echoue empechant mon SMTP
d'envoyer le mail.
Mais je n'ai aucune idée de ce qu'est cette negociation et quelle port elle
utilise.

(A tout hasard est ce que cette nogociation ne serait pas la recherche du
destinateire de l'adresse (jjmerillon(AT)free.fr) sur laquelle j'envoie un
mail ??? Cette idée m'est venue au moment ou je tapai ces lignes :)  )


Merci d'eclairer ma lanterne.

00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain:  46219+ MX?
free.fr. (25) (DF)
00:58:30.706593 212.27.32.176.domain > 81.56.211.247.33055:  46219* 9/2/14
MX mrelay3-2.free.fr. 50,[|domain] (DF)
00:58:30.707398 81.56.211.247.33055 > 212.27.32.176.domain:  46220+ A?
mx.free.fr. (28) (DF)
00:58:30.768073 212.27.32.176.domain > 81.56.211.247.33055:  46220* 7/2/2 A
213.228.0.1,[|domain] (DF)
00:58:30.768633 81.56.211.247.33055 > 212.27.32.176.domain:  46221+ A?
mrelay2-1.free.fr. (35) (DF)
00:58:30.827060 212.27.32.176.domain > 81.56.211.247.33055:  46221* 1/2/2 A
213.228.0.13 (129) (DF)
00:58:30.827558 81.56.211.247.33055 > 212.27.32.176.domain:  46222+ A?
mrelay2-2.free.fr. (35) (DF)
00:58:30.886810 212.27.32.176.domain > 81.56.211.247.33055:  46222* 1/2/2 A
213.228.0.131 (129) (DF)
00:58:30.887318 81.56.211.247.33055 > 212.27.32.176.domain:  46223+ A?
mx1-1.free.fr. (31) (DF)
00:58:30.949990 212.27.32.176.domain > 81.56.211.247.33055:  46223* 1/2/2 A
213.228.0.65 (125) (DF)
00:58:30.950473 81.56.211.247.33055 > 212.27.32.176.domain:  46224+ A?
mrelay3-2.free.fr. (35) (DF)
00:58:31.011810 212.27.32.176.domain > 81.56.211.247.33055:  46224* 1/2/2 A
213.228.0.166 (129) (DF)
00:58:31.012297 81.56.211.247.33055 > 212.27.32.176.domain:  46225+ A?
mrelay4-2.free.fr. (35) (DF)
00:58:31.072945 212.27.32.176.domain > 81.56.211.247.33055:  46225* 1/2/2 A
213.228.0.175 (129) (DF)
00:58:31.073430 81.56.211.247.33055 > 212.27.32.176.domain:  46226+ A?
mrelay1-1.free.fr. (35) (DF)
00:58:31.132704 212.27.32.176.domain > 81.56.211.247.33055:  46226* 1/2/2 A
213.228.0.1 (129) (DF)
00:58:31.133179 81.56.211.247.33055 > 212.27.32.176.domain:  46227+ A?
mrelay1-2.free.fr. (35) (DF)
00:58:31.192453 212.27.32.176.domain > 81.56.211.247.33055:  46227* 1/2/2 A
213.228.0.129 (129) (DF)
00:58:31.192939 81.56.211.247.33055 > 212.27.32.176.domain:  46228+ A?
ns1.proxad.net. (32) (DF)
00:58:31.251505 212.27.32.176.domain > 81.56.211.247.33055:  46228* 1/2/2 A
212.27.32.130 (112) (DF)
00:58:31.251952 81.56.211.247.32819 > 213.228.0.175.smtp: S
741887251:741887251(0) win 5808  (DF)
00:58:31.309820 213.228.0.175.smtp > 81.56.211.247.32819: S
1140293823:1140293823(0) ack 741887252 win 5792  (DF)
00:58:31.309896 81.56.211.247.32819 > 213.228.0.175.smtp: . ack 1 win 5808
 (DF)
00:58:31.375071 213.228.0.175.smtp > 81.56.211.247.32819: P 1:30(29) ack 1
win 5792  (DF)
00:58:31.375119 81.56.211.247.32819 > 213.228.0.175.smtp: . ack 30 win 5808
 (DF)
00:58:31.375514 81.56.211.247.32819 > 213.228.0.175.smtp: P 1:24(23) ack 30
win 5808  (DF)
00:58:31.439611 213.228.0.175.smtp > 81.56.211.247.32819: . ack 24 win 5792
 (DF)
00:58:31.443771 213.228.0.175.smtp > 81.56.211.247.32819: P 30:83(53) ack 24
win 5792  (DF)
00:58:31.443961 81.56.211.247.32819 > 213.228.0.175.smtp: P 24:86(62) ack 83
win 5808  (DF)
00:58:31.509681 213.228.0.175.smtp > 81.56.211.247.32819: P 83:113(30) ack
86 win 5792  (DF)
00:58:31.509998 81.56.211.247.32819 > 213.228.0.175.smtp: P 86:395(309) ack
113 win 5808  (DF)
00:58:31.587987 213.228.0.175.smtp > 81.56.211.247.32819: P 113:141(28) ack
395 win 6432  (DF)
00:58:31.588405 81.56.211.247.32819 > 213.228.0.175.smtp: F 395:395(0) ack
141 win 5808  (DF)
00:58:31.591448 213.228.0.175.smtp > 81.56.211.247.32819: FP 141:164(23) ack
395 win 6432  (DF)
00:58:31.591554 81.56.211.247.32819 > 213.228.0.175.smtp: R
741887646:741887646(0) win 0 (DF)
00:58:31.642904 213.228.0.175.smtp > 81.56.211.247.32819: . ack 396 win 6432
 (DF)
00:58:31.642940 81.56.211.247.32819 > 213.228.0.175.smtp: R
741887647:741887647(0) win 0 (DF)

Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] Pbl iptables + postfix

2003-04-04 Par sujet Jean-Jacques Mérillon

Ca y est ca marche j'ai trouvé, le probleme c'est que pour envoyer un mail le serveur 
smtp dois savoir ou l'envoyer et pour cela il communique avec le DNS d'ou utilisation 
du port "domaine".

Ainsi pour permettre l'envoie de SMTP il faut ouvrir le port 25 :
iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -m state --state ESTABLISHED 
-j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -m state --state 
NEW,ESTABLISHED -j ACCEPT

Et il faut aussi permettre les communication par le port 53 :
iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT

Merci a tous ceux qui m'ont aidé. 



Le Vendredi 4 Avril 2003 19:12, vous avez écrit :
>   Salut !
> Déjà, c'est bien de l'extérieur (internet) que tu n'arrives pas à
> recevoir de mail, pas depuis ton LAN?
> Depuis cette machine, tu arrives a envoyer des mails ?
>
> Le ven 04/04/2003 à 00:09, Jean-Jacques Mérillon a écrit :
> > Je viens d'essayer en inversion les port sur INPUT et OUTPUT c'est pas
> > mieux :( Alors voici toute ma configue :
> >
> > Tout d'abord iptables-save me donne ceci :
> >
> > # Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
> > *filter
> >
> > :INPUT DROP [2:156]
> > :FORWARD DROP [0:0]
> > :OUTPUT DROP [0:0]
> >
> > -A INPUT -i lo -j ACCEPT
> > -A INPUT -i eth1 -j ACCEPT
> >
> >
> > -A INPUT -i ppp0 -p tcp -m tcp --dport 25 -m state --state
> > RELATED,ESTABLISHED -j ACCEPT
>
> Rajoute NEW dans l'état.
>
> Si c'est depuis ton LAN que tu n'arrives pas à envoyer de mail, rajoute:
> iptables -A INPUT -i eth0 --destination-port 25 -j ACCEPT
> iptables -A OUTPUT -o eth0 --source-port 25 -j ACCEPT
> (en considérant que l'interface de ton FW connectée au LAN est eth0)
>
> > -A FORWARD -i eth1 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j
> > ACCEPT -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j
> > ACCEPT -A OUTPUT -o lo -j ACCEPT
> > -A OUTPUT -o eth1 -j ACCEPT
> > -A OUTPUT -o ppp0 -p tcp -m tcp --sport 25 -m state --state
> > NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT
> > # Completed on Fri Apr  4 01:03:20 2003
> > # Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
> > *nat
> >
> > :PREROUTING ACCEPT [69:7453]
> > :POSTROUTING ACCEPT [9:519]
> > :OUTPUT ACCEPT [33:1791]
> >
> > -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
> > COMMIT
> > # Completed on Fri Apr  4 01:03:20 2003
> > # Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
> > *mangle
> >
> > :PREROUTING ACCEPT [11798:3358141]
> > :INPUT ACCEPT [10974:3300935]
> > :FORWARD ACCEPT [824:57206]
> > :OUTPUT ACCEPT [10935:4638056]
> > :POSTROUTING ACCEPT [11735:4693990]
> >
> > COMMIT
> > # Completed on Fri Apr  4 01:03:20 2003
> >
> >
> > Ensuite j'ai ouvert ous les ports
> > iptables -P INPUT ACCEPT
> > iptables -P OUTPUT ACCEPT
> >
> > Et j'ai snifé ma connexion ppp0 avec tcpdump le temps d'envoyer un mail
> > le resultat ci dessous:
> >
> > -> Question c quoi les domaine de 212.27.32.176.domain et c quoi ce port
> > 33055 ?? -> Cela vous eclaire sur la cause de mon pbl?
>
> Ici, le 33055, c'est ton port local ( bind() ) qui est connecté au port
> DNS distant.
>
> Pour le "domain", c'est uniquement la requête DNS. Il recherche le
> serveur de mail distant du domaine (enregistrement MX ici)
> Tu as dû envoyer un mail à une adresse [EMAIL PROTECTED] Il recherche
> donc le smtp de free pour envoyer le mail.
>
> > 00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain:  46219+ MX?
> > free.fr. (25) (DF) 00:58:30.706593 212.27.32.176.domain >
> > 81.56.211.247.33055:  46219* 9/2/14 MX mrelay3-2.free.fr. 50,[|domain]
> > (DF) 00:58:30.707398 81.56.211.247.33055 > 212.27.32.176.domain:  46220+
> > A? mx.free.fr. (28) (DF) 00:58:30.768073 212.27.32.176.domain >
> > 81.56.211.247.33055:  46220* 7/2/2 A 213.228.0.1,[|domain] (DF)
> > 00:58:30.768633 81.56.211.247.33055 > 212.27.32.176.domain:  46221+ A?
> > mrelay2-1.free.fr. (35) (DF) 00:58:30.827060 212.27.32.176.domain >
> > 81.56.211.247.33055:  46221* 1/2/2 A 213.228.0.13 (129) (DF)
> > 00:58:30.827558 81.56.211.247.33055 > 212.27.32.176.domain:  46222+ A?
> > mrelay2-2.free.fr. (35) (DF) 00:58:30.886810 212.27.32.176.domain >
> > 81.56.211.247.33055:  46222* 1/2/2 A 213.228.0.131 (129) (DF)
> > 00:58:30.887318 81.56.211.247.33055 > 212.27.32.176.domain:  46223+ A?
> > mx1-1.free.fr. (31) (DF) 00:58:30.949990 212.27.32.176.domain >
> > 81.56.211.247.33055:  46223* 1/2/2 A 213.228.0.65 (125) (DF)
> > 00:58:30.950473 81.56.211.247.33055 > 212.27.32.176.domain:  46224+ A?
> > mrelay3-2.free.fr. (35) (DF) 00:58:31.011810 212.27.32.176.domain >
> > 81.56.211.247.33055:  46224* 1/2/2 A 213.228.0.166 (129) (DF)
> > 00:58:31.012297 81.56.211.247.33055 > 212.27.32.176.domain:  46225+ A?
> > mrelay4-

Re: [Confirme] Pbl iptables + postfix

2003-04-03 Par sujet Jean-Jacques Mérillon

Je viens d'essayer en inversion les port sur INPUT et OUTPUT c'est pas mieux :(
Alors voici toute ma configue :

Tout d'abord iptables-save me donne ceci :

# Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
*filter
:INPUT DROP [2:156]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -m state --state RELATED,ESTABLISHED -j 
ACCEPT
-A FORWARD -i eth1 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 25 -m state --state NEW,RELATED,ESTABLISHED -j 
ACCEPT
COMMIT
# Completed on Fri Apr  4 01:03:20 2003
# Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
*nat
:PREROUTING ACCEPT [69:7453]
:POSTROUTING ACCEPT [9:519]
:OUTPUT ACCEPT [33:1791]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Apr  4 01:03:20 2003
# Generated by iptables-save v1.2.7a on Fri Apr  4 01:03:20 2003
*mangle
:PREROUTING ACCEPT [11798:3358141]
:INPUT ACCEPT [10974:3300935]
:FORWARD ACCEPT [824:57206]
:OUTPUT ACCEPT [10935:4638056]
:POSTROUTING ACCEPT [11735:4693990]
COMMIT
# Completed on Fri Apr  4 01:03:20 2003


Ensuite j'ai ouvert ous les ports 
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

Et j'ai snifé ma connexion ppp0 avec tcpdump le temps d'envoyer un mail le resultat ci 
dessous:

-> Question c quoi les domaine de 212.27.32.176.domain et c quoi ce port 33055 ??
-> Cela vous eclaire sur la cause de mon pbl?


00:58:30.643515 81.56.211.247.33055 > 212.27.32.176.domain:  46219+ MX? free.fr. (25) 
(DF)
00:58:30.706593 212.27.32.176.domain > 81.56.211.247.33055:  46219* 9/2/14 MX 
mrelay3-2.free.fr. 50,[|domain] (DF)
00:58:30.707398 81.56.211.247.33055 > 212.27.32.176.domain:  46220+ A? mx.free.fr. 
(28) (DF)
00:58:30.768073 212.27.32.176.domain > 81.56.211.247.33055:  46220* 7/2/2 A 
213.228.0.1,[|domain] (DF)
00:58:30.768633 81.56.211.247.33055 > 212.27.32.176.domain:  46221+ A? 
mrelay2-1.free.fr. (35) (DF)
00:58:30.827060 212.27.32.176.domain > 81.56.211.247.33055:  46221* 1/2/2 A 
213.228.0.13 (129) (DF)
00:58:30.827558 81.56.211.247.33055 > 212.27.32.176.domain:  46222+ A? 
mrelay2-2.free.fr. (35) (DF)
00:58:30.886810 212.27.32.176.domain > 81.56.211.247.33055:  46222* 1/2/2 A 
213.228.0.131 (129) (DF)
00:58:30.887318 81.56.211.247.33055 > 212.27.32.176.domain:  46223+ A? mx1-1.free.fr. 
(31) (DF)
00:58:30.949990 212.27.32.176.domain > 81.56.211.247.33055:  46223* 1/2/2 A 
213.228.0.65 (125) (DF)
00:58:30.950473 81.56.211.247.33055 > 212.27.32.176.domain:  46224+ A? 
mrelay3-2.free.fr. (35) (DF)
00:58:31.011810 212.27.32.176.domain > 81.56.211.247.33055:  46224* 1/2/2 A 
213.228.0.166 (129) (DF)
00:58:31.012297 81.56.211.247.33055 > 212.27.32.176.domain:  46225+ A? 
mrelay4-2.free.fr. (35) (DF)
00:58:31.072945 212.27.32.176.domain > 81.56.211.247.33055:  46225* 1/2/2 A 
213.228.0.175 (129) (DF)
00:58:31.073430 81.56.211.247.33055 > 212.27.32.176.domain:  46226+ A? 
mrelay1-1.free.fr. (35) (DF)
00:58:31.132704 212.27.32.176.domain > 81.56.211.247.33055:  46226* 1/2/2 A 
213.228.0.1 (129) (DF)
00:58:31.133179 81.56.211.247.33055 > 212.27.32.176.domain:  46227+ A? 
mrelay1-2.free.fr. (35) (DF)
00:58:31.192453 212.27.32.176.domain > 81.56.211.247.33055:  46227* 1/2/2 A 
213.228.0.129 (129) (DF)
00:58:31.192939 81.56.211.247.33055 > 212.27.32.176.domain:  46228+ A? ns1.proxad.net. 
(32) (DF)
00:58:31.251505 212.27.32.176.domain > 81.56.211.247.33055:  46228* 1/2/2 A 
212.27.32.130 (112) (DF)
00:58:31.251952 81.56.211.247.32819 > 213.228.0.175.smtp: S 741887251:741887251(0) win 
5808  (DF)
00:58:31.309820 213.228.0.175.smtp > 81.56.211.247.32819: S 1140293823:1140293823(0) 
ack 741887252 win 5792  (DF)
00:58:31.309896 81.56.211.247.32819 > 213.228.0.175.smtp: . ack 1 win 5808 
 (DF)
00:58:31.375071 213.228.0.175.smtp > 81.56.211.247.32819: P 1:30(29) ack 1 win 5792 
 (DF)
00:58:31.375119 81.56.211.247.32819 > 213.228.0.175.smtp: . ack 30 win 5808 
 (DF)
00:58:31.375514 81.56.211.247.32819 > 213.228.0.175.smtp: P 1:24(23) ack 30 win 5808 
 (DF)
00:58:31.439611 213.228.0.175.smtp > 81.56.211.247.32819: . ack 24 win 5792 
 (DF)
00:58:31.443771 213.228.0.175.smtp > 81.56.211.247.32819: P 30:83(53) ack 24 win 5792 
 (DF)
00:58:31.443961 81.56.211.247.32819 > 213.228.0.175.smtp: P 24:86(62) ack 83 win 5808 
 (DF)
00:58:31.509681 213.228.0.175.smtp > 81.56.211.247.32819: P 83:113(30) ack 86 win 5792 
 (DF)
00:58:31.509998 81.56.211.247.32819 > 213.228.0.175.smtp: P 86:395(309) ack 113 win 
5808  (DF)
00:58:31.587987 213.228.0.175.smtp > 81.56.211.247.32819: P 113:141(28) ack 395 win 
6432  (DF)
00:58:31.588405 81.56.211.247.32819 > 213.228.0.175.smtp: F 395:395(0) ack 141 win 
5808  (DF)
00:58:31.591448 213.228.0.175.smtp > 81.56.211.247.32819: FP 141:164(23) ack 395 win 
6432  (DF)
00:58:31.591554 81.56.211.247.

Re: [Confirme] Pbl iptables + postfix

2003-04-03 Par sujet Pierre BETOUIN

Pardon, faute de frappe (copier/coller), remplace le -i par -o pr le
OUTPUT...

Ce qui n'allait pas ds ton script précédent, c'est que tu avais inversé
--source-port et --destination-port...

Ce qui rentre sur le firewall, et qu'il faut autoriser (dans le INPUT),
c'est les --destination-port 25 (vers ton smtp), tu avais mis
l'inverse...
Et ce qui sort du FW (donc, du srv smtp vers le client), c'est envoyé
par ton smtp, donc par le port 25 d'où le --source-port 25...

Voilà. Bonne soirée.

Pierre

Le jeu 03/04/2003 à 16:06, clocard a écrit :
>   salut,
> 
> 
> Le Jeudi 3 Avril 2003 14:37, Pierre BETOUIN a écrit :
> > iptables -A INPUT -i ppp0 --protocol tcp --destination-port 25 -j
ACCEPT
> > # Les paquets entrent sur le 25...
> >
> > iptables -A OUTPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT
> > # Les paquets sortent pas le 25...
> 
> Or on a deja eu cette proposition :
> 
> > iptables -A OUTPUT -o ppp0 --protocol tcp --source-port 25 -j ACCEPT
> 
> Comme le man iptables indique :
> 
>-i, --in-interface [!] name
>   Name  of an interface via which a packet is going to be
received
>   (only for packets entering the  INPUT,  FORWARD  and 
PREROUTING
>   chains).   When  the  "!"  argument is used before the
interface
>   name, the sense is inverted.  If the interface name 
ends  in  a
>   "+",  then any interface which begins with this name
will match.
>   If this option is omitted, any interface name will
match.
> 
>-o, --out-interface [!] name
>   Name of an interface via which a packet is going to be
sent (for
>   packets  entering  the  FORWARD, OUTPUT and POSTROUTING
chains).
>   When the "!" argument is used before  the  interface 
name,  the
>   sense  is  inverted.   If the interface name ends in a
"+", then
>   any interface which begins with this name will match.  
If  this
>   option is omitted, any interface name will match.
> 
> 
> alors es-tu sur de ton option -i pour ton interface de sortie ? et si
oui, 
> alors j'aimerai bien comprendre la difference ...
>   XB.
-- 
Pierre BETOUIN

GnuPG key :
lynx -dump perso.club-internet.fr/unsignedchr/GnupgKey.asc | gpg
--import


signature.asc
Description: PGP signature

Re: [Confirme] Pbl iptables + postfix

2003-04-03 Par sujet clocard

salut,


Le Jeudi 3 Avril 2003 14:37, Pierre BETOUIN a écrit :
> iptables -A INPUT -i ppp0 --protocol tcp --destination-port 25 -j ACCEPT
> # Les paquets entrent sur le 25...
>
> iptables -A OUTPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT
> # Les paquets sortent pas le 25...

Or on a deja eu cette proposition :

> iptables -A OUTPUT -o ppp0 --protocol tcp --source-port 25 -j ACCEPT

Comme le man iptables indique :

   -i, --in-interface [!] name
  Name  of an interface via which a packet is going to be received
  (only for packets entering the  INPUT,  FORWARD  and  PREROUTING
  chains).   When  the  "!"  argument is used before the interface
  name, the sense is inverted.  If the interface name  ends  in  a
  "+",  then any interface which begins with this name will match.
  If this option is omitted, any interface name will match.

   -o, --out-interface [!] name
  Name of an interface via which a packet is going to be sent (for
  packets  entering  the  FORWARD, OUTPUT and POSTROUTING chains).
  When the "!" argument is used before  the  interface  name,  the
  sense  is  inverted.   If the interface name ends in a "+", then
  any interface which begins with this name will match.   If  this
  option is omitted, any interface name will match.


alors es-tu sur de ton option -i pour ton interface de sortie ? et si oui, 
alors j'aimerai bien comprendre la difference ...


XB.

Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

RE: [Confirme] Pbl iptables + postfix

2003-04-03 Par sujet Pierre BETOUIN

Salut !

Le jeu 03/04/2003 à 10:23, MERILLON JEAN-JACQUES a écrit :
> je ne pense pas que le RELATED soit la cause du non fonctionnement, j'ai
> essayé :
> 
> iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT
> iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT
C'est normal que ça ne passe pas... C'est le port 25 de chez toi vers
les clients, pas l'inverse...

Avec les politiques suivantes :
---
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Mets :
--
iptables -A INPUT -i ppp0 --protocol tcp --destination-port 25 -j ACCEPT
# Les paquets entrent sur le 25...

iptables -A OUTPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT
# Les paquets sortent pas le 25...


> Qui devrait tout laisser passer en tcp sur le port 25 et ca ne marche pas
> non plus :(
> 
> Question subsidiaire : comment loger toutes les regles DROPEES par iptables
> ???
'man iptables' te renseignera sur les autres options mais en gros, voilà
l'utilisation :

Ex : (ici pr les nvx paquets sans SYN...)

iptables -A INPUT -p tcp -m state --state NEW ! --syn -m limit --limit
3/s -j LOG --log-prefix "ici le prefixe"

-- 
Pierre BETOUIN <[EMAIL PROTECTED]>


signature.asc
Description: PGP signature

RE: [Confirme] Pbl iptables + postfix

2003-04-03 Par sujet MERILLON JEAN-JACQUES


je ne pense pas que le RELATED soit la cause du non fonctionnement, j'ai
essayé :

iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT

Qui devrait tout laisser passer en tcp sur le port 25 et ca ne marche pas
non plus :(

Question subsidiaire : comment loger toutes les regles DROPEES par iptables
???


> Le Jeudi 03 Avril 2003 03:29, Jean-Jacques Mérillon a écrit :
> > Bonjour
> >
> > J'ai configuré mon serveur SMTP postfix ur ma passerelle, mais
> > malheureusement il semble ne vouloir envoyer les mails que 
> quand j'ouvre ma
> > machine a toutes les connexions :
> > iptables -P INPUT ACCEPT
> > iptables -p OUTPUT ACCEPT
> >
> > si je configure de cette façon :
> > iptables -P INPUT DROP
> > iptables -p OUTPUT DROP
> >
> > iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 
> -m state --state
> > ESTABLISHED -j ACCEPT
> Sur cette ligne il doit te manquer quelque chose, style 
> RELATED, parce que la 
> première fois que le serveur distant répond, la connexion 
> n'est pas  encore 
> ESTABLISHED justement, puis qu'il répond pour l'établir.
> 
> Enfin c'est juste un idée.
> 
> 
> > iptables -A OUTPUT -o ppp0 --protocol tcp 
> --destination-port 25 -m state
> > --state NEW,ESTABLISHED -j ACCEPT
> 
> -- 
> Linux pour Mac !? Enfin le moyen de transformer
> une pomme en véritable ordinateur. - JL.
> Olivier Thauvin - http://nanardon.homelinux.org/
> 
> 

Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] Pbl iptables + postfix

2003-04-02 Par sujet Olivier Thauvin

Le Jeudi 03 Avril 2003 03:29, Jean-Jacques Mérillon a écrit :
> Bonjour
>
> J'ai configuré mon serveur SMTP postfix ur ma passerelle, mais
> malheureusement il semble ne vouloir envoyer les mails que quand j'ouvre ma
> machine a toutes les connexions :
> iptables -P INPUT ACCEPT
> iptables -p OUTPUT ACCEPT
>
> si je configure de cette façon :
> iptables -P INPUT DROP
> iptables -p OUTPUT DROP
>
> iptables -A INPUT -i ppp0 --protocol tcp --source-port 25 -m state --state
> ESTABLISHED -j ACCEPT
Sur cette ligne il doit te manquer quelque chose, style RELATED, parce que la 
première fois que le serveur distant répond, la connexion n'est pas  encore 
ESTABLISHED justement, puis qu'il répond pour l'établir.

Enfin c'est juste un idée.


> iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -m state
> --state NEW,ESTABLISHED -j ACCEPT

-- 
Linux pour Mac !? Enfin le moyen de transformer
une pomme en véritable ordinateur. - JL.
Olivier Thauvin - http://nanardon.homelinux.org/

Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Re: [Confirme] Pbl iptables + postfix

Re: [Confirme] Pbl iptables + postfix

Re: [Confirme] Pbl iptables + postfix

RE: [Confirme] Pbl iptables + postfix

Re: [Confirme] Pbl iptables + postfix

Re: [Confirme] Pbl iptables + postfix

Re: [Confirme] Pbl iptables + postfix

Re: [Confirme] Pbl iptables + postfix

RE: [Confirme] Pbl iptables + postfix

RE: [Confirme] Pbl iptables + postfix

Re: [Confirme] Pbl iptables + postfix

11 matches

Site Navigation

Mail list logo

Footer information