Abrindo "passagem" para clientes de correio

Xxoin

Este artigo é uma complementação a uma resposta que postei numa lista de discussão (Squid-br). Trata-se das configurações necessárias no iptables para que um cliente de correio (por exemplo, o Outlook), funcionando dentro de uma rede com IPs inválidos, se comunique com um provedor/servidor na Internet.

[ Hits: 23.449 ]

Por: Edson G. de Lima em 14/04/2005

0 0
Denuncie   Favoritos   Indicar   Impressora

Um resumo de como funciona um cliente de correio



Lembrete: no protocolo TCP/IP uma aplicação irá se conectar a outra aplicação. Dentro deste raciocínio, abrimos nosso cliente de correio (exemplo: Outlook). Esta aplicação irá se conectar ao servidor de correio de nosso provedor (vamos admitir como exemplo o Postfix).

Este servidor estará escutando nas portas 25 (SMTP) para envio de mensagem e 110 (POP) para recebimento de mensagem.

Relembrando: estamos raciocinando que estamos em uma rede com IPs inválidos e queremos enviar e receber e-mail da Internet.

Escrevemos uma mensagem qualquer e clicamos em enviar...

Vamos descrever o "socket" desta conexão:

O protocolo de transporte é o TCP. Este "pacote" tem como origem uma máquina da rede com IP inválido; de uma porta alta aleatória; com destino a um IP/Domínio válido; para a porta 25; entra pela placa interna de nosso FW-Proxy e sai pela placa que está ligada ao modem.

A resposta a este pacote fará o inverso. Sairá do servidor pela porta 25 com destino a nossa porta que foi aberta, neste caso, uma porta alta; entrando pela placa ligada ao modem.

Agora vamos "baixar" as nossas mensagens que estão no servidor:

Clicamos em "receber"... Nossa requisição tem como origem a mesma máquina acima, só que abrindo uma porta alta aleatória com destino a porta 110. A resposta sairá do servidor pela porta 110 com destino a nossa porta alta.

Com o que temos até aqui, já se pode perceber que não é necessário permitir (no FW-Proxy) passagem/entrada de pacotes com destino às portas 25 e 110. Isto é, NÃO é necessário FORWARD com destino a nossa rede e muito menos INPUT com destino ao nosso FW-Proxy para as portas 25/110. Dizendo no "popular" - não precisamos aceitar conexões "entrantes".

Outro detalhe importante: como estamos falando de IPs inválidos, precisamos nos lembrar que nossa rede irá precisar ter acesso a um servidor de DNS externo e será necessário NAT para estas requisições de nossa rede. Porém, não desejamos abrir brechas em nosso filtro de conteúdos, o nosso proxy...

Vamos então para as regras que precisamos no iptables. Não estaremos abordando regras genéricas de segurança. As regras abaixo são para liberar um cliente de correio "pensando em segurança". As regras a seguir consideram que as Políticas para INPUT e FORWARD são DROP.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Um resumo de como funciona um cliente de correio
   3. Regras necessárias no iptables
Outros artigos deste autor

Integrando Bind com Active Directory (AD)

Se o Linux fosse uma "marca"

Leitura recomendada

Iptables detalhado

Zentyal 2.0 - Solução completa de segurança open source

Integrando Layer7 + IPP2P ao Iptables

UFW e GuFW, firewall simples ao alcance de todos

Controlando 2 links de internet (roteados) em um gateway Linux com SQUID

  
Comentários
[1] Comentário enviado por Oni em 15/04/2005 - 15:33h

muito bom esse eseu artiigo.....e é bom saber que tem um conterraneo meu aki no site.....Parabens.

[2] Comentário enviado por naoexistemais em 15/04/2005 - 23:00h

Parabens pelo artigo é bem didático, simples e objetivo.

Tomara que veremos mais artigos de sua autoria...

Falou,

[3] Comentário enviado por brunolimaq em 02/12/2005 - 09:39h

SO uma dúvida no final quando vc diz :

Se você usa pppoe, coloque -j MASQUERADE.


É para Adcionar a regra no final, ou substituilá?

Obrigado! :D

[4] Comentário enviado por Xxoin em 02/12/2005 - 11:01h

Boa pergunta!!

Substituir!
Ficando: onde se lê "-j SNAT --to..." leia-se "-j MASQUERADE"


Abraços.

[5] Comentário enviado por nilton1 em 31/01/2006 - 09:48h

ola bom dia .
Eu estou utilizar o ipcop numa maquina que tem 2 placas de rede um para rede interna e outra para rede externa.entao o que esta acontecer é que o ipcop permite dentro da rede interna enviar msn somente de http por exemplo nao deixa enviar como smtp.
e no FIRRWALL no rederecionamento de portos esta pedir ip de origem e ip de destino.
quais sao esses ip.
obrigado.

[6] Comentário enviado por aprendiz_ce em 15/12/2006 - 13:47h

Show de bola!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Instalar certificado digital Safesign, fornecido pela Certisign e utilizado pela OAB-SP, em qualquer distribuição Linux usando distrobox

Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg

Criatividade para TI parte 1

Melhorando o tempo de boot do Fedora e outras distribuições

Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46

Dicas

Como Atualizar Fedora 39 para 40

Instalar Google Chrome no Debian e derivados

Consertando o erro do Sushi e Wayland no Opensuse Leap 15

Instalar a última versão do PostgreSQL no Lunix mantendo atualizado

Flathub na sua distribuição Linux e comandos básicos de gerenciamento

Tópicos

redirecionando saida de comando touch para o AWK[AJUDA] (4)

Microfone do meu headset não é recinhecido. Meu notebook é um Acer Asp... (1)

iso de sistema 32 bit em atividade (18)

erro ao clonar repo github (11)

Mikrotik dhcp server (5)

Top 10 do mês

Scripts

[Python] Adicione a opção Redimensionar e rotacionar imagens ao Nautilus

[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse

[Shell Script] Script para criar certificados de forma automatizada no OpenVpn

[Shell Script] Conversor de vídeo com opção de legenda

[C/C++] BRT - Bulk Renaming Tool

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: