Tiszteletem az Úrakna.
A következö problámám van.
Egy virtuális szerven futó mailserver nem tudja smtp-porton keresztül a leveleket továbbítani (Connection timed out).
A virtuális gépröl a telnet aspmx.l.google.com 25 nem lehetséges.
Ping,névfeloldás megy.
A Hostról telnet simán megy.
A Hoston/tüzfalon a szükséges portok (úgy gondolom) nyitva vannak:
-A PREROUTING -p tcp -m tcp --dport 465 -j DNAT --to-destination 192.168.178.103:465
-A PREROUTING -p tcp -m tcp --dport 993 -j DNAT --to-destination 192.168.178.103:993
-A PREROUTING -p tcp -m tcp --dport 465 -j DNAT --to-destination 192.168.178.103:25
-A PREROUTING -p tcp -m tcp --dport 466 -j DNAT --to-destination 192.168.178.103:25
-A PREROUTING -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.178.103:110
-A PREROUTING -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.178.103:25
Azt kérdezném tisztelettel:
- Van e valakinek tippje mi lehet a gond
- Mivel lehet tesztelni hol, akad el a telnet (tracroute pl. simán végigmegy)
Köszönöm.
- 7714 megtekintés
Hozzászólások
"A" hoszton van a DNAT, ha jól értem.
"B" hoszton (ahonnan el szeretnéd érni az "A" hosztot) kiengedted az smtp-t?
- A hozzászóláshoz be kell jelentkezni
Lehet csak itteni eliras,de a 465 portot ketszer kuldod tovabb,mas helyekre...
- A hozzászóláshoz be kell jelentkezni
Kicsit kavar van a portokkal, egyrészt ahogy írták, a 465-ös két helyre is el van küldve (bár azt hiszem az elsőnél feladja a keresést), illetve túl sok minden van a 25-ösre szögelve, ez mondjuk vagy baj, vagy nem.
Elsőnek nekem az a gyanús, hogy a DNAT-nak nincs megadva input interfész, így lehet hogy a saját farkába harap. Add meg a host masina külső lábát neki (pl. -i eth0), hátha úgy jó lesz.
- A hozzászóláshoz be kell jelentkezni
25-ös port nincs tíltva? Nem tudom, hogy honnan megy a virtuális gép, de ha otthoni net szolgáltató, akkor sok esetben tíltják a 25-ös portot.
- A hozzászóláshoz be kell jelentkezni
"A Hostról telnet simán megy."
Ebből én arra tippelek, hogy nem ilyesmi a probléma.
- A hozzászóláshoz be kell jelentkezni
Kifelé is kell NAT szabály, mert a csomagok nem mennek ki rendesen a netre! (lehet,hogy meg kell jelölni,hogy csak a anew csomagokat NAT-olja SNAT-al)
Pl:
-A POSTROUTING -p tcp -m tcp --sport 465 -j SNAT --to-source
:465
FORAWRD láncon is engedélyezni kell a forgalmat kifelé:
-A FORWARD -s 192.168.178.103 -p tcp -m multiport --sports 25,465,587,110,143,993,995 -j ACCEPT
-A FORWARD -d 192.168.178.103 -p tcp -m multiport --dports 25,465,587,110,143,993,995 -j ACCEPT
tesztelés:
nmap paranccsal.
pl.: nmap -PN -p 25 aspmx.l.google.com
Ha open a port ,akkor minden okés, ha filtered akkor tűzfal velszeg, ha cloed, akkor a másik oldalon nem figyel semmi a tesztelt porton.
tcpdump parancs.
Ha valami nem okés,akkor a host külső lábán szűrj rá a forgalomra.
Feltételezve,hogy eth0 a publikus IP-t birtokló kártya.
tcpdump -i eth0 -nn host and port
- A hozzászóláshoz be kell jelentkezni
Sorban a válaszok:
-Igen az “A” host(Gazda) a DNAT
-a 25-re direct küldtem két portot (migráltam a mailservert egy másik virtuális gépröl. Egy ideig párhuzamosan futott a kettö. Igy tudtam mindkettöt használni paralell)
-csak egy inputo interfac van (egyenlöre), nem hiszem hogy ez a gond, mert akkor ping sem menne, de kiprobállom explicit eth0-lal
-25-ös port megy, be tudok rá telnetelni kivülröl. Nem otthoni gép, nincs tiltva
@kallaics:
Ezt nem értem egészen miért kell:
-A POSTROUTING -p tcp -m tcp --sport 465 -j SNAT --to-source :465
A forward lánc mindha engedve lenne, de ezt meg kell néznem. Remélem ez a gond. :-)
Köszönöm.
- A hozzászóláshoz be kell jelentkezni
POSTROUTING azért kell, hogy az új, kimenő csomagokat is át NAT-olja a publikus IP-re, különben ilyen finomságok mennek ki a gépedről, amit az első szolgáltatói router el is dob majd.
192.168.178.103:45486 -> 1.2.3.4:25
Ha ilyet látsz a publikus interface-n kifelé,akkor bizony hiányzik egy vagy több SNAT vagy egy MASQUERADE a tűzfalon.
- A hozzászóláshoz be kell jelentkezni
Köszönöm.
Feltételezem akkor ezt a 25-ös portra is meg kell tennem:
-A POSTROUTING -p tcp -m tcp --sport 25 -j SNAT --to-source 25
- A hozzászóláshoz be kell jelentkezni
Igen, ha fut a 25-ös porton is SMTP.
-A POSTROUTING -s 192.168.178.103 --dport 25 -j SNAT --to-source
ellenőrizd le tcpdump-al az eredményt.
- A hozzászóláshoz be kell jelentkezni
A pingre nincs markáns hatással az, ha a 25-ös portot visszakanyarítod.
- A hozzászóláshoz be kell jelentkezni
A teljesség kedvéert és hátha más is belefut.
Ez a két sor megoldotta a 25-ös port problémát. Legalább is igy már a postfix továbbitja a levelekt kifelé is:
-A PREROUTING -d 192.168.178.103/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.178.103:25
-A POSTROUTING -s 192.168.178.103/32 -p tcp -m tcp --dport 25 -j SNAT --to-source :25
- A hozzászóláshoz be kell jelentkezni
Áh, ez még jobb is mint az interfészt megadni.
- A hozzászóláshoz be kell jelentkezni
Ahogy fentebb írtam port 25 porbléma megoldva.
+1* köszönöm.
Viszont jön a következő buktató.
Most már localhostrol (mert ehhez úgy nem kell autetnikácó) ill. mynetworkböl szépen tudok levelet küldeni (mutt-al probálva mynetworkon belül másik hostrol is szépen megy).
Testsaslauthd szerint is minden szép és jó, viszont távoli mail-cliens (pl Win) nem tud küldeni: Client Host rejected: Acces denied
Logba megjelenik a kliens de autentikállni nem tud.
Lehet ez is firewall probléma?
Postfix, dovecout (mySql) imap TLS-sel.
Küldés 587 (submission port) keresztül kéne menni:
-A PREROUTING -p tcp -m tcp --dport 587 -j DNAT --to-destination 192.168.178.103:587
Server log:
Apr 28 23:44:01 mailserver postfix/submission/smtpd[6201]: connect from x.y.server.lan[xxx.yyy.zzz.aaa]
Apr 28 23:44:02 mailserver postfix/submission/smtpd[6201]: warning: x.y.server.lan[xxx.yyy.zzz.aaa]: SASL CRAM-MD5 authentication failed: authentication failure
Apr 28 23:44:02 mailserver postfix/submission/smtpd[6201]: warning: x.y.server.lan[xxx.yyy.zzz.aaa]: SASL NTLM authentication failed: authentication failure
Apr 28 23:44:02 mailserver postfix/submission/smtpd[6201]: warning: SASL authentication failure: Password verification failed
Apr 28 23:44:02 mailserver postfix/submission/smtpd[6201]: warning: x.y.server.lan[xxx.yyy.zzz.aaa]: SASL PLAIN authentication failed: authentication failure
Apr 28 23:44:02 mailserver postfix/submission/smtpd[6201]: warning: x.y.server.lan[xxx.yyy.zzz.aaa]: SASL LOGIN authentication failed: authentication failure
Apr 28 23:44:02 mailserver postfix/submission/smtpd[6201]: NOQUEUE: reject: RCPT from x.y.server.lan[xxx.yyy.zzz.aaa]: 554 5.7.1 : Client host rejected: Access denied; from= to= proto=ESMTP helo=
Apr 28 23:44:03 mailserver postfix/submission/smtpd[6201]: disconnect from x.y.server.lan[xxx.yyy.zzz.aaa]
Minden támpontnk örülnék.
- A hozzászóláshoz be kell jelentkezni
sasl logokat is mutathatnal. Btw. csak kerdezem, hogy miert szivatod magad a sasl bloatware-rel? A postfix mar egy jo ideje tamogatja a dovecot-ot smtp auth-hoz, amivel tisztabb es szarazabb erzes az smtp auth implementacioja.
--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)
- A hozzászóláshoz be kell jelentkezni
A postfif dovecoton/IMAP-om kerestül autentikal mysql adatbazisból.
akkor a jó hir, hogy nem sz* magamt :-)
sasl nem sokat logol:
klienstöl függöen vagy
May 2 11:28:13 mailserver postfix/submission/smtpd[5554]: warning: unknown[x.y.z.t]: SASL LOGIN authentication failed: authentication failure
vagy
May 2 12:56:33 mailserver postfix/submission/smtpd[6579]: warning: SASL authentication failure: Password verification failed
May 2 12:56:33 mailserver postfix/submission/smtpd[6579]: warning: domain.com[x.y.z.t]: SASL PLAIN authentication failed: authentication failure
A testsaslauthd-val probálva az autentikácio tökéletes.
- A hozzászóláshoz be kell jelentkezni