Re: [postfix-users] Port yang harus dibuka
On Fri, 2010-05-28 at 11:45 +0900, Tanya Muluw wrote: > DH > > Saya membuat mail server dengan Postfix di Gentoo dengan panduan utama > dari > http://en.gentoo-wiki.com/wiki/Virtual_mail_server_using_Postfix,_Courier_and_PostfixAdmin > dan http://www.gentoo.org/doc/en/virt-mail-howto.xml. Di firewall > dengan iptables, mulanya kami menggunakan pendekatan negatif list > (policy open), email berjalan dengan baik. Sekarang kami coba > firewall dengan pendekatan positif list (policy drop), kami sudah buka > port 25 dan 443, bisa kirim email tapi tidak bisa terima email. Di > /var/log/mail.log tidak ada log apapun tentang email yang masuk. > > Mohon pencerahannya port apa lagi yang mesti dibuka supaya bisa terima email. > > Terima kasih sebelumnya, > > BR > > Tanya > Agar anda bisa menerima email di computer anda dari server yang baru anda buat, di server harus di install POP3 server, biasanya sih Courier IMAP. Jika sudah di install, pastikan services/daemon nya sudah jalan, coba ketik: netstat -tplan Contoh: r...@proxy:/var/www/html # netstat -tpln Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp0 0 0.0.0.0:110 0.0.0.0:* LISTEN 3821/couriertcpd kalau ada 0.0.0.0:110 di bawah local address, artinya daemon POP3 nya sudah listen di semua interface. Jika belum check lagi file konfigurasinya, jika sudah terlihat seperti di atas dan belum bisa ngecheck email dari client, check firewallnya, pastikan port 110 terbuka Nyoman
Re: [postfix-users] Port yang harus dibuka
salam mungkin yang baru dibuka port 25 output saja, port 25 input belum dibuka. Kalau ada script iptables-nya akan sangat membantu. wassalam ic On 28/05/10 10:01, Nyoman [D] wrote: > On Fri, 2010-05-28 at 11:45 +0900, Tanya Muluw wrote: >> DH >> >> Saya membuat mail server dengan Postfix di Gentoo dengan panduan utama >> dari >> http://en.gentoo-wiki.com/wiki/Virtual_mail_server_using_Postfix,_Courier_and_PostfixAdmin >> dan http://www.gentoo.org/doc/en/virt-mail-howto.xml. Di firewall >> dengan iptables, mulanya kami menggunakan pendekatan negatif list >> (policy open), email berjalan dengan baik. Sekarang kami coba >> firewall dengan pendekatan positif list (policy drop), kami sudah buka >> port 25 dan 443, bisa kirim email tapi tidak bisa terima email. Di >> /var/log/mail.log tidak ada log apapun tentang email yang masuk. >> >> Mohon pencerahannya port apa lagi yang mesti dibuka supaya bisa terima email. >> >> Terima kasih sebelumnya, >> >> BR >> -- Imam Cartealy Linux registered user #481374 Surat elektronik ini bersifat rahasia dan bisa berisikan informasi yang bersifat pribadi. Anda tidak diperkenankan untuk menggandakan, menggunakan ataupun mengungkapkan surat elektronik ini dalam bentuk apapun kepada siapapun. Penggunaan ataupun penyebaran surat elektronik ini dalam bentuk apapun kepada pihak lain adalah diluar tanggung jawab penulis. Surat elektronik ini termasuk tambahan yang diikutkan dalam surat elektronik ini ditujukan hanya untuk penerima. Jika Anda bukan orang yang dimaksudkan oleh penulis sebagai penerima surat elektronik ini, Anda tidak diperbolehkan untuk mengambil tindakan apapun terhadap surat elektronik ini dan menunjukkannya kepada siapapun. Jika Anda menerima surat elektronik ini karena kesalahan, mohon beritahukan penulis dan segera menghapusnya.
Re: [postfix-users] Port yang harus dibuka
2010/5/28 Imam Cartealy : > salam > > mungkin yang baru dibuka port 25 output saja, port 25 input belum dibuka. > Kalau > ada script iptables-nya akan sangat membantu. > > wassalam > Terima kasih buat semua tanggapan. Mas Nyoman, mail server ini sebelumnya berfungsi dengan baik. Script iptablesnya sebagai berikut (saya coba pelajari dari tulisan mas Fajar yang saya donlot dari kambing) : # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 *filter :INPUT DROP :FORWARD DROP :OUTPUT DROP -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "** INPUT DROP **" -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 5050 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "** FORWARD DROP **" -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "** OUTPUT DROP **" -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT -A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT COMMIT # Completed on Thu May 27 13:52:33 2010 # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 *nat :PREROUTING ACCEPT :POSTROUTING ACCEPT :OUTPUT ACCEPT -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25 -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:110 -A PREROUTING -p tcp -m tcp --dport 443 -j ACCEPT -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Thu May 27 13:52:33 2010 Tambahan info : 10.10.48.0/22 : jaringan lokal, lewat eth1 Firewall dengan iptables di Ubuntu 10.04 di mesin terpisah dari mail server. Mail server menggunakan IP public (mohon pencerahannya juga kalau ini tidak tepat) Terima kasih sebelumnya. BR Tanya
Re: [postfix-users] Port yang harus dibuka
On 5/28/2010 1:51 PM, Tanya Muluw wrote: 2010/5/28 Imam Cartealy: salam mungkin yang baru dibuka port 25 output saja, port 25 input belum dibuka. Kalau ada script iptables-nya akan sangat membantu. wassalam Terima kasih buat semua tanggapan. Mas Nyoman, mail server ini sebelumnya berfungsi dengan baik. Script iptablesnya sebagai berikut (saya coba pelajari dari tulisan mas Fajar yang saya donlot dari kambing) : # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 *filter :INPUT DROP :FORWARD DROP :OUTPUT DROP -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "** INPUT DROP **" -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 5050 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "** FORWARD DROP **" -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "** OUTPUT DROP **" -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT -A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT COMMIT # Completed on Thu May 27 13:52:33 2010 # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 *nat :PREROUTING ACCEPT :POSTROUTING ACCEPT :OUTPUT ACCEPT -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25 -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:110 -A PREROUTING -p tcp -m tcp --dport 443 -j ACCEPT -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Thu May 27 13:52:33 2010 Tambahan info : 10.10.48.0/22 : jaringan lokal, lewat eth1 Firewall dengan iptables di Ubuntu 10.04 di mesin terpisah dari mail server. Mail server menggunakan IP public (mohon pencerahannya juga kalau ini tidak tepat) Terima kasih sebelumnya. BR Tanya jika merubah default policy dari ACCEPT ke DROP maka baris INPUT/OUTPUT iptables untuk smtp port seperti ini INPUT aslinya: -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT menjadi: -A INPUT -d MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT OUPUT aslinya: -A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT menjadi: -A OUTPUT -s MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT demikian pula dengan service port yg lain cmiiw wassalam
Re: [postfix-users] Port yang harus dibuka
>> >> # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 >> *filter >> :INPUT DROP >> :FORWARD DROP >> :OUTPUT DROP >> -A INPUT -i lo -j ACCEPT >> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT >> -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 80 -j >> ACCEPT >> -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j >> ACCEPT >> -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 443 -j >> ACCEPT >> -A INPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix >> "** INPUT DROP **" >> -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT >> -A INPUT -p udp -m udp --dport 53 -j ACCEPT >> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT >> -A FORWARD -p udp -m udp --dport 53 -j ACCEPT >> -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT >> -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT >> -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 80 -j ACCEPT >> -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 5050 -j ACCEPT >> -A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT >> -A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT >> -A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT >> -A FORWARD -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT >> -A FORWARD -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix >> "** FORWARD DROP **" >> -A OUTPUT -o lo -j ACCEPT >> -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT >> -A OUTPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix >> "** OUTPUT DROP **" >> -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT >> -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT >> -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT >> -A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT >> COMMIT >> # Completed on Thu May 27 13:52:33 2010 >> # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 >> *nat >> :PREROUTING ACCEPT >> :POSTROUTING ACCEPT >> :OUTPUT ACCEPT >> -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport >> 25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25 >> -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport >> 110 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:110 >> -A PREROUTING -p tcp -m tcp --dport 443 -j ACCEPT >> -A POSTROUTING -o eth0 -j MASQUERADE >> COMMIT >> # Completed on Thu May 27 13:52:33 2010 >> >> Tambahan info : >> >> 10.10.48.0/22 : jaringan lokal, lewat eth1 >> Firewall dengan iptables di Ubuntu 10.04 di mesin terpisah dari mail >> server. >> Mail server menggunakan IP public (mohon pencerahannya juga kalau ini >> tidak tepat) >> >> Terima kasih sebelumnya. >> >> BR >> >> Tanya >> > > jika merubah default policy dari ACCEPT ke DROP maka baris INPUT/OUTPUT > iptables untuk smtp port seperti ini > > INPUT > aslinya: > -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j > ACCEPT > > menjadi: > -A INPUT -d MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j > ACCEPT > > OUPUT > aslinya: > -A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT > > menjadi: > -A OUTPUT -s MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT > > demikian pula dengan service port yg lain > > cmiiw > > wassalam > salam tambahan, maksudnya mail server berbeda mesin dengan firewall ? kalau begitu apakah DNAT dimaksudkan untuk mengalihkan trafik mail ke mesin yang berbeda karena anda hanya memiliki satu ip publik ? Kalau iya, berarti rule DNAT-nya harus dirubah (saya mengambil kesimpulan demikian karena saya melihat rule forward untuk port 25 dari dalam ke luar, tetapi tidak ada rule untuk menerima forward dari luar ke dalam) pertama prerouting -A PREROUTING -d MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp --dport25 -j DNAT --to-destination MAIL.SERVER.LOCAL.IP:25 kedua terima forward trafik yang sudah anda DNAT -A FORWARD -i eth0 -p tcp -d MAIL.SERVER.LOCAL.IP --dport 25 -j ACCEPT saya anggap eth0 menghadap ke luar, sedangkan eth1 menghadap ke dalam karena sepertinya di rule anda membaliknya, berbeda dengan yang anda katakan. wassalam ic -- Imam Cartealy Linux registered user #481374 Surat elektronik ini bersifat rahasia dan bisa berisikan informasi yang bersifat pribadi. Anda tidak diperkenankan untuk menggandakan, menggunakan ataupun mengungkapkan surat elektronik ini dalam bentuk apapun kepada siapapun. Penggunaan ataupun penyebaran surat elektronik ini dalam bentuk apapun kepada pihak lain adalah diluar tanggung jawab penulis. Surat elektronik ini termasuk tambahan yang diikutkan dalam surat elektronik ini ditujukan hanya untuk penerima. Jika Anda bukan orang yang dimaksudkan oleh penulis sebagai penerima surat elektronik ini, Anda tidak diperbolehkan untuk mengambil tindakan apapun terhadap surat elektronik ini dan menunjukkannya kepada siapapun. Jika Anda menerima surat elektronik ini karena kesalahan, mohon beritahukan penulis dan segera menghapusnya.
Re: [postfix-users] Port yang harus dibuka
On 5/14/2010 1:28 PM, Hari Hendaryanto wrote: On 5/28/2010 1:51 PM, Tanya Muluw wrote: 2010/5/28 Imam Cartealy: salam mungkin yang baru dibuka port 25 output saja, port 25 input belum dibuka. Kalau ada script iptables-nya akan sangat membantu. wassalam Terima kasih buat semua tanggapan. Mas Nyoman, mail server ini sebelumnya berfungsi dengan baik. Script iptablesnya sebagai berikut (saya coba pelajari dari tulisan mas Fajar yang saya donlot dari kambing) : # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 *filter :INPUT DROP :FORWARD DROP :OUTPUT DROP -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "** INPUT DROP **" -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -s 10.10.48.0/22 -p tcp -m tcp --dport 5050 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "** FORWARD DROP **" -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m limit --limit 2/min --limit-burst 2 -j LOG --log-prefix "** OUTPUT DROP **" -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT -A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT COMMIT # Completed on Thu May 27 13:52:33 2010 # Generated by iptables-save v1.4.4 on Thu May 27 13:52:33 2010 *nat :PREROUTING ACCEPT :POSTROUTING ACCEPT :OUTPUT ACCEPT -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25 -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:110 -A PREROUTING -p tcp -m tcp --dport 443 -j ACCEPT -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Thu May 27 13:52:33 2010 Tambahan info : 10.10.48.0/22 : jaringan lokal, lewat eth1 Firewall dengan iptables di Ubuntu 10.04 di mesin terpisah dari mail server. Mail server menggunakan IP public (mohon pencerahannya juga kalau ini tidak tepat) Terima kasih sebelumnya. BR Tanya jika merubah default policy dari ACCEPT ke DROP maka baris INPUT/OUTPUT iptables untuk smtp port seperti ini INPUT aslinya: -A INPUT -s MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT menjadi: -A INPUT -d MAIL.SERVER.PUBLIC.IP -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT a OUPUT aslinya: -A OUTPUT -d MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT menjadi: -A OUTPUT -s MAIL.SERVER.PUBLIC.IP -p tcp -m tcp --dport 25 -j ACCEPT demikian pula dengan service port yg lain cmiiw wassalam ups, sorry saya nggak liat info tambahan di bawah, saya pikir mesin smtp dan firewall jadi satu. supaya paket smtp(port 25) dari lokal LAN bisa di forward ke mail server: -A FORWARD -i eth1 -p tcp -m tcp -s 10.10.48.0/22 -d MAIL.SERVER.PUBLIC.IP --dport 25 -j ACCEPT allow forward paket smtp dari lokal LAN dengan tujuan mail server. chain INPUT/OUTPUT cuma untuk paket dari/ke firewall itu sendiri, nggak pengaruh ke forwarding antara LAN <--> mail server, back and forth. -A PREROUTING ! -s MAIL.SERVER.PUBLIC.IP -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination MAIL.SERVER.PUBLIC.IP:25 ini tidak perlu ada perubahan saya rasa, karena default POLICY nya masih tetap accept di table nat. tapi tetap harus di allow di chain FORWARD(policy drop) -A FORWARD -i eth0 -p tcp --dport 25 -d MAIL.SERVER.PUBLIC.IP -j ACCEPT jika di atas bisa jalan(semoga), bisa di coba hal yg sama untuk pop3/imap default policy DROP memang agak2 ribet/tricky :D cmiiw
