Sziasztok!
Az alábbi témában szeretném a segítségeteket kérni:
Egy olyan linux tűzfalszervert üzemeltetek, amit még az elődöm rakott össze, és miután a linuxot még csak tanulgatom, több a homály, mint nem...
Jelenleg abba a problémába szaladtam bele, hogy a cégünk internet szolgáltatót fog váltani, és ha átírom a szerver hálózatos beállításait, akkor ugyan netünk van, de a levelezés nem működik. Szerencsére mindkét internetes csatlakozás a rendelkezésemre áll,így tudom oda-vissza állítgatni a rendszert.
Hogy pontosítsam: Fedora 7 fut a szerveren squid-del transparent módban.
Az IP-t, átjárót, hálózati maszkot átírtam a /etc/sysconfig/network-sripts/ifcfg-eth0 file-ban, illetve beírtam a DNS szervereket a /var/named/chroot/etc/named.conf-ba. (Itt az optionsban a forward only bejegyzés szerepel. Megpróbáltam a /etc/resolf.conf-ba beírni a DNS szervereket, de az nem elég...)
A beállítások élesítése után megy a net, viszont a külső szolgáltatónál (Intrex) lévő levelezésünk megáll. Az 587-es, és 110-es portokat használjuk. Ha visszaállítom a szervert, megy a levelezés. Kipróbáltam, hogy ha egy sima routert teszek fel a az új netelérésre, és azon keresztül engedem ki a gépem, akkor is van levelezés, így már csak a tűzfalszerver marad bűnbaknak.
Van valami ötletetek, hogy merre kotorjak a beállításokban?
Trolley
- 3780 megtekintés
Hozzászólások
Az elődöd valószínűleg bekorlátozta a kimenő kapcsolatokat, hogy csak arra az egy(pár) IP-re menjen amit Ő akar.
Az iptables -L és iptables -L -t nat parancsokat nézegesd, ha találsz benne árulkodó címeket, akkor megvan a nyomor.
- A hozzászóláshoz be kell jelentkezni
Az elődöm előbb távozott, mint ahogy külső levelezőkiszolgálónk lett volna... Viszont találtam érdekes dolgokat az iptablesben, úgyhogy más irányú kotorászás is lesz itt...
- A hozzászóláshoz be kell jelentkezni
akkor tevedtem, ha bemasolod aziptables-save outputjat akkor igyekszunk segiteni neked :)
- A hozzászóláshoz be kell jelentkezni
uhhh, 650 sor... biztos, hogy szabad bemásolni ide?
- A hozzászóláshoz be kell jelentkezni
Első körben elég ha greppelsz a régi IP címre. Amúgy se szokás csak így behajítani a tűzfalszabályokat, pláne ha szerepelnek benne pl. belső gépek IP címei, meg ránatolt portok. Ha mégis akarod, akkor a pastebin a megoldás.
- A hozzászóláshoz be kell jelentkezni
Ezt találtam az iptables-save parancs kimenetében a jelenlegi IP-re vonatkozóan.
-A eth0_masq -s 10.0.6.0/255.255.255.0 -j SNAT --to-source JELENLEGIIP
-A eth0_masq -s 10.0.7.0/255.255.255.0 -j SNAT --to-source JELENLEGIIP
-A eth0_masq -s 192.168.121.0/255.255.255.0 -j SNAT --to-source JELENLEGIIP
(Közben rájöttem, hogy a fejemben a linuxot illetően olyan sötét van, mint a vakond belső zsebében, így elindultam keresni egy villanykapcsolót, fáklyát, de legalább egy szentjánosbogarat...)
- A hozzászóláshoz be kell jelentkezni
Ehhez azért elég lesz egy szentjánosbogár is :D
- A hozzászóláshoz be kell jelentkezni
vagy ez vagy az uj szolgaltatod szuri ezeket a portokat, hogy csak az o levelezo serveret hasznalhasd (leginkabb a spammerek, es spammer botnetek megfekezese erdekeben)
az imap / pop3 se megy vagy csak az smtp nem?
- A hozzászóláshoz be kell jelentkezni
most jovok ra, hogy attol meg a levelezo szolgaltatod ugyan az marad, tehat reagalva az elottem szolo postjara, a mail server ip cime ugyan az marad, igy nem valoszinu hogy az iptables szuresen ez barmit valtoztatna...
- A hozzászóláshoz be kell jelentkezni
Hacsak nincs snatolva valami ami.
- A hozzászóláshoz be kell jelentkezni
A levelezés tökéletesen megy, ha megkerülöm a tűzfalszervert... Mivel még csak tesztelem a vonalat, felkonfiguráltam egy routert, és ha azon keresztül engedem ki a gépem akkor műxik a levelezés.
- A hozzászóláshoz be kell jelentkezni
a linuxodról próbáld pingelni a webszervert, ip-re és domainra egyaránt. Van válasz?
Ha jó akkor próbálj telnetelni a webszerverre az 587 és a 110-es porton egyaránt.
- A hozzászóláshoz be kell jelentkezni
az elődödnek gratulálok, szerverre Fedorát LOL
ráadásul évek óta nem támogatott...
- A hozzászóláshoz be kell jelentkezni