Iptables bloqueia outlook sozinho

utidosmicros
(usa Debian)

Enviado em 01/10/2012 - 20:19h

Estou com um problema muito estranho, estou a mais de uma semana quebrando a kbça, mais não obtive sucesso.

em fim implantei um servidor linux Debian, rodando squid autenticado no AD, tranquilo.. tudo corria muito bem, até o momento de configurar as contas de email no outlook pela primeira vez que implantei um server linux tive esse problema, após algumas pesquisas consegui rodar alguns comandos com iptables e o mesmo funcionou.
inexplicavelmente depois de 02 ou 03 dias o problema voltou e nada de funcionar outlook, rodei todos os comando novamente algumas vezes e nada, depois de algumas tentativas voltava a funcionar e parava posteiormente


segue comandos que utilizei para liberar as portas


iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.204.0.10 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 587 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 587 -j ACCEPT


iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 192.168.0.0/24 resolver1.telesp.net.br udp dpt:domain
ACCEPT udp -- resolver1.telesp.net.br 192.168.0.0/24 udp spt:domain
ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:smtp
ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:pop3
ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpt:submission
ACCEPT tcp -- anywhere anywhere tcp spt:smtp
ACCEPT tcp -- anywhere anywhere tcp spt:pop3
ACCEPT tcp -- anywhere anywhere tcp spt:submission


conto com o apoio de todos

andrecanhadas
(usa Debian)

Enviado em 01/10/2012 - 20:54h

Esses comandos você apenas digita ou tem um script na inicilização?

utidosmicros
(usa Debian)

Enviado em 01/10/2012 - 21:11h

Criei um firewall bem elaborado, firewall.sh, e nada, depois disso criei algumas regras básicas apenas no rc.local:

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#Redirecionamento Squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Redirecionamento VPN
modprobe ip_gre
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.0.253:1723
iptables -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.0.253

#Redirecionamento Terminal Service
iptables -A FORWARD -p tcp --sport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.253
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 3389 -j DNAT --to-destination 192.168.0.253

#Redirecionamento Cameras
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to-destination 192.168.0.250
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5500 -j DNAT --to-destination 192.168.0.250
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5501 -j DNAT --to-destination 192.168.0.250
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5002 -j DNAT --to-destination 192.168.0.250

#Redirecionamento Cameras2
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 11000 -j DNAT --to-destination 192.168.0.245
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5505 -j DNAT --to-destination 192.168.0.245
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5506 -j DNAT --to-destination 192.168.0.245
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5007 -j DNAT --to-destination 192.168.0.245





#exit 0

___________________________________________


O pior é que da semana passada para cá ja é o terceiro servidor que eu subo.
nos outros foi tudo certo

esse ta integrado no AD, gerando relatórios de acesso via sarg... uma blza... so impaca no danado do outlook

agradeço sua atenção

andrecanhadas
(usa Debian)

Enviado em 01/10/2012 - 21:36h

tente limpar as regras no inicio de seu script:

echo “Limpando as Regras existentes”

/sbin/iptables -F

/sbin/iptables -t nat -F

/sbin/iptables -t mangle -F

/sbin/iptables -t filter -F

/sbin/iptables -X

/sbin/iptables -Z



## Definindo politica padrão (Nega entrada e permite saída)

/sbin/iptables -P INPUT DROP

/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -P FORWARD ACCEPT



 

O segundo bloco é a politica padrão que pode ser alterada para drop caso prefira mas vai ter que liberar o que quiser deixar acessar como postou no inicio.

utidosmicros
(usa Debian)

Enviado em 01/10/2012 - 21:47h

Amigo é para adicionar as linhas que vc inviou no inicio do arquivo rc.local

ou tem que criar novamente um script de firewall

utidosmicros
(usa Debian)

Enviado em 01/10/2012 - 21:53h

Cara so para constar eu não consigo obter resposta de ping para fora apartir de alguma estação


C:\Users\adm>ping www.terra.com.br

Disparando www.terra.com.br [200.154.56.80] com 32 bytes de dados
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.

Estatísticas do Ping para 200.154.56.80:
Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% de
perda),

andrecanhadas
(usa Debian)

Enviado em 01/10/2012 - 22:03h

Da uma olhada:
http://tinyurl.com/8frfke2

Esta é uma maneira correta de fazer se tiver duvidas posta aqui

tecoberg
(usa Ubuntu)

Enviado em 09/11/2012 - 13:30h

E aí amigos

inclua em seu script as seguinte linha:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Tecoberg
(usa Ubuntu)

Enviado em 30/11/2012 - 06:27h

Valtou uma linha acima

iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-reply -j ACCEPT