Не отправляет почту

[Paramount]

На клиентской машине в outluk express не отрпавляетчя почта, хотя интернет есть, чото ругается на SMTP и 25 порт, что надо прописать чтоб он был открытым?
Ubuntu 9.10

sudo iptables -A INPUT -j ACCEPT -p tcp -m tcp -i ppp0 --dport 25
писал не помогает.

[podkovyrsty]

чтобы открыть 25 порт на локальной машине?

вот это правило (-j ACCEPT в конце!) разрешает подключаться на 25 порт ppp0 интерфейса по протоколу tcp, тебе этого надо?

sudo iptables -A INPUT -p tcp -m tcp -i ppp0 --dport 25 -j ACCEPT

[Paramount]

При попытки отправки сообщения пишет "Ваш сервер SMTP не отвечает, сервер : mail.gcheb.cap.ru"
25 порт закрыт, я его добавил
acl Safe_ports port 25
в squid.conf не помогло
Пользователь решил продолжить мысль 06 Апреля 2010, 12:52:45:А как проверить в терминале открыт порт 25  и работает ли он. на исходящую почту.

[Karl500]

telnet <адрес> 25

Возможно, порт закрыт провайдером.

[podkovyrsty]

telnet mail.gcheb.cap.ru 25

опиши структуру сети, кто клиент, как он получает доступ в инет, где почтовик и где в этой сети Ubuntu.

[Paramount]

telnet: Unable to connect to remote host: No route to host
Ubuntu 9.10 стоит squid + dansguardian , прокси адреса и порт 8080 на клиентских машинах прописывал вручную все работало и почта отправлялась, сегодня решил сделать пробрасывание портов (так вроде называется) чтоб автоматом все работало (чтоб не прописывать адрес прокси и порт в браузерах) все работало после этого (инет), а вот почта после этого заглохла.
Пользователь решил продолжить мысль 06 Апреля 2010, 13:01:05:прозрачный прокси (или это называется NAT) сделал так:

для твоего случая

squid.conf просто снимаешь коментарий(знак #) со строчки
Исходный код
http_port 3128 transparent


Исходный код
sudo gedit /proc/sys/net/ipv4/ip_forward
ставишь единичку(1) вместо нуля

Исходный код
Сначала обнуляем наши текущие правила
sudo iptables -F
sudo iptables -t nat -F

Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
sudo iptables -P INPUT ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD DROP

Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
sudo iptables -I INPUT 1 -i eth3 -j ACCEPT
sudo iptables -I INPUT 1 -i lo -j ACCEPT
sudo iptables -A INPUT -p UDP --dport bootps -i ! eth3 -j REJECT
sudo iptables -A INPUT -p UDP --dport domain -i ! eth3 -j REJECT

(Необязательно) Разрешаем доступ к нашему ssh-серверу из Etherway
sudo iptables -A INPUT -p TCP --dport ssh -i eth2 -j ACCEPT

Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
sudo iptables -A INPUT -p TCP -i ! eth3 -d 0/0 --dport 0:1023 -j DROP
sudo iptables -A INPUT -p UDP -i ! eth3 -d 0/0 --dport 0:1023 -j DROP

В конце добавляем правила для NAT
sudo iptables -I FORWARD -i eth3 -d 192.168.0.0/255.255.0.0 -j DROP
sudo iptables -A FORWARD -i eth3 -s 192.168.0.0/255.255.0.0 -j ACCEPT
sudo iptables -A FORWARD -i ppp0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

чтобы локалка Etherway тоже работала
sudo iptables -A FORWARD -i eth2 -d 192.168.0.0/255.255.0.0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

перебрасываем порты 80,8080 на squid
sudo iptables -t nat -A PREROUTING -i eth3 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.1:3128

[podkovyrsty]

Дай вывод:

ifconfig
cat /etc/network/interfaces
route -n
iptables-save

и подпиши какой интерфейс - куда смотрит

з.ы. инет сейчас работает и через прокси и просто как шлюз?

[Paramount]

ifconfig

eth2 это инет
eth3 локальный- раздает инет

(Нажмите, чтобы показать/скрыть)

eth2      Link encap:Ethernet  HWaddr 00:18:f3:4d:c9:15 
          inet addr:10.129.34.129  Bcast:10.129.35.255  Mask:255.255.254.0
          inet6 addr: fe80::218:f3ff:fe4d:c915/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:53973893 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22643849 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:3327676941 (3.3 GB)  TX bytes:1556990265 (1.5 GB)
          Прервано:23 Base address:0xc000

eth3      Link encap:Ethernet  HWaddr 00:e0:4d:05:e3:14 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4dff:fe05:e314/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1200652 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1094097 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:382501752 (382.5 MB)  TX bytes:1127198702 (1.1 GB)
          Прервано:17 Base address:0xac00

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1152111 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1152111 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:963971439 (963.9 MB)  TX bytes:963971439 (963.9 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:91.197.174.84  P-t-P:192.168.255.11  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:53667547 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1100946 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:3
          RX bytes:571589189 (571.5 MB)  TX bytes:118005680 (118.0 MB)

cat /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback

route -n

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.255.11  10.129.34.1     255.255.255.255 UGH   0      0        0 eth2
192.168.255.11  0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth3
195.2.214.0     10.129.34.1     255.255.255.0   UG    0      0        0 eth2
192.168.253.0   10.129.34.1     255.255.255.0   UG    0      0        0 eth2
192.168.255.0   10.129.34.1     255.255.255.0   UG    0      0        0 eth2
10.129.34.0     0.0.0.0         255.255.254.0   U     1      0        0 eth2
91.197.172.0    10.129.34.1     255.255.252.0   UG    0      0        0 eth2
192.168.96.0    10.129.34.1     255.255.240.0   UG    0      0        0 eth2
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth3
10.0.0.0        10.129.34.1     255.0.0.0       UG    0      0        0 eth2
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

Инет щас пашет если прописать прокси и порт в браузере и работает если не прописывать (на автомате)

[podkovyrsty]

iptables-save не привел

наверное eth2 это сеть провайдера, а в инет все-таки смотрит ppp0?


замеченные косяки:
продублирован маршрут  192.168.253.0   10.129.34.1     255.255.255.0   UG    0      0        0 eth2
непонятно зачем - 169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth3

но косяки вроде к делу не относятся

=============UP============

mail.gcheb.cap.ru это 195.2.214.56

судя по твоей таблице маршрутов
195.2.214.0     10.129.34.1     255.255.255.0   UG    0      0        0 eth2
он должен быть доступен локально, без инета, сквозь шлюз 10.129.34.1
это так?

[Paramount]

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Tue Apr  6 13:45:26 2010
*nat
:PREROUTING ACCEPT [160275:13160111]
:POSTROUTING ACCEPT [81923:5086658]
:OUTPUT ACCEPT [52336:3203142]
-A PREROUTING ! -d 192.168.0.0/24 -i eth3 -p tcp -m multiport --dports 25,80,8080 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Apr  6 13:45:26 2010
# Generated by iptables-save v1.4.4 on Tue Apr  6 13:45:26 2010
*mangle
:PREROUTING ACCEPT [108958588:13030943942]
:INPUT ACCEPT [108822842:13009540304]
:FORWARD ACCEPT [78108:17740259]
:OUTPUT ACCEPT [25584102:3013331939]
:POSTROUTING ACCEPT [25661680:3031044374]
COMMIT
# Completed on Tue Apr  6 13:45:26 2010
# Generated by iptables-save v1.4.4 on Tue Apr  6 13:45:26 2010
*filter
:INPUT ACCEPT [1808437:371253540]
:FORWARD DROP [360:19612]
:OUTPUT ACCEPT [726412:183505102]
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i 1o -j ACCEPT
-A INPUT -i eth3 -j ACCEPT
-A INPUT ! -i eth3 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth3 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth3 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT ! -i eth3 -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -i eth3 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -i eth3 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -i eth3 -j DROP
COMMIT
# Completed on Tue Apr  6 13:45:26 2010

ppp0 это vpn подключение то есть интернет
Пользователь решил продолжить мысль 06 Апреля 2010, 13:57:21:

=============UP============

mail.gcheb.cap.ru это 195.2.214.56

судя по твоей таблице маршрутов
195.2.214.0     10.129.34.1     255.255.255.0   UG    0      0        0 eth2
он должен быть доступен локально, без инета, сквозь шлюз 10.129.34.1
это так?

Как проверить? если даже и так все равно почта не отправляется.

[podkovyrsty]

iptables-save

вот это правило:
-A PREROUTING ! -d 192.168.0.0/24 -i eth3 -p tcp -m multiport --dports 25,80,8080 -j DNAT --to-destination 192.168.1.1:3128

весь траффик, пришедший с eth3 интерфейса и направленный на порты 25,80,8080 какого-либо адреса, кроме 192.168.0.0/24, заворачивает в 192.168.1.1:3128, тоесть в проксю.

тоесть когда ты в локалке, прописал шлюз 1.1, и пробуешь подключаться к чему-то по 25-му порту - тебя заворачивает в прокси.

вот это:

(Нажмите, чтобы показать/скрыть)

*filter
:INPUT ACCEPT [1808437:371253540]
:FORWARD DROP [360:19612]
:OUTPUT ACCEPT [726412:183505102]
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i 1o -j ACCEPT
-A INPUT -i eth3 -j ACCEPT
-A INPUT ! -i eth3 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth3 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT ! -i eth3 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT ! -i eth3 -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -i eth3 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -i eth3 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -i eth3 -j DROP

почти пипец, но, как ни странно не должен влиять на наш 25 порт

вопрос номер раз (он уже был)
mail.gcheb.cap.ru это 195.2.214.56

судя по твоей таблице маршрутов
195.2.214.0     10.129.34.1     255.255.255.0   UG    0      0        0 eth2
он должен быть доступен локально, без инета, сквозь шлюз 10.129.34.1
это так?

вопрос номер два
tracert mail.gcheb.cap.ru

[Paramount]

Вот что мне пишет если  я пишу это на серваке (где стоит прокси)

telnet mail.gcheb.cap.ru 25
Trying 195.2.214.56...
Connected to mail.gcheb.cap.ru.
Escape character is '^]'.
220 gcheb.cap.ru ESMTP MDaemon 9.5.4; Tue, 06 Apr 2010 14:04:29 +0400

А если я это пишу с клиентской машины то открывает новое окошко командной строки с заголовком telnet mail.gcheb.cap.ru в котором ничего не написано

[podkovyrsty]

на клиентской машине шлюз 1.1?

[Paramount]

Да, на клиенсткой машине шлюз 1.1
Это если с сервака
traceroute to mail.gcheb.cap.ru (195.2.214.56), 30 hops max, 60 byte packets
 1  10.129.34.1 (10.129.34.1)  0.982 ms  1.345 ms  1.719 ms
 2  10.0.2.13 (10.0.2.13)  0.970 ms  1.360 ms  1.746 ms
 3  * * *
 4  mail.gcheb.cap.ru (195.2.214.56)  73.613 ms  88.595 ms  109.491 ms

А если с клиентской машины то трасировка идет тока до 192.168.1.1 и все дальше глохнет

[podkovyrsty]

А если с клиентской машины то трасировка идет тока до 192.168.1.1 и все дальше глохнет

значит IP определяется и клиент пытается достучаться, дальше идет цепочка фаерволл-сквид-фаерволл

если после

Код: [Выделить]

iptables -F INPUT
iptables -P INPUT ACCEPT
с клиента телнет по прежнему не будет проходить, значит проблема в сквиде