SMTP e POP iptables Squid [RESOLVIDO]

amigodolinux
(usa Outra)

Enviado em 17/12/2013 - 11:15h

Ola pessoal,

tentei usar varias regras para liberar o smtp mas nao descobri porque esta dando errado. por fim limpei todo o firewall mas mesmo assim nao consegui, gostaria da ajuda de vcs. Obrigado.

veja meu rc.firewall

################### RC.FIREWALL ######################
# Interface de rede que recebe a internet
IFACE_WEB="eth1"

# Interface de rede ligada a rede interna
IFACE_LAN="eth0"

# Rede interna
REDE_INTERNA="192.168.10.0/24"

# bloqueando tudo

#iptables -P INPUT DROP
#iptables -P FORWARD DROP

# Limpa todas as regras
#iptables -F
#iptables -t nat -F
#iptables -t mangle -F

# Coloca as políticas padrões como ACCEPT, liberando todo e qualquer acesso
iptables -A INPUT -P ACCEPT
iptables -A OUTPUT -P ACCEPT
iptables -A FORWARD -P ACCEPT

# Habilita o roteamento no kernel #
echo 1 > /proc/sys/net/ipv4/ip_forward

# Compartilha a internet
iptables -t nat -A POSTROUTING -o $IFACE_WEB -j MASQUERADE

###################### Email

iptables -A FORWARD -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

################### FIM RC.FIREWALL ######################

################### INICIO DO SQUID ######################
http_port 3128 transparent

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

# novas ACLs
acl block_sites url_regex "/etc/squid/sites_bloqueados"
acl rede src 192.168.10.0/24
acl gerente url_regex "/etc/squid/gerentes"

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

############ Novas Http_access
#O gerente tem acesso total e está no topo
http_access allow gerente

#A partir daqui quem acessar está proibido de acessar os sites da lista block_sites
http_access deny block_sites

#Todo o range de rede declarado pode acessar a internet, exceto os sites bloqueados
http_access allow rede

#Se não se encaixa em nenhuma das alternativas acima, não usa a internet
http_access deny all

http_access allow localhost

hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

################### FIM DO SQUID ######################

Configuracao Pcs

IP 192.168.10.10
Gat 192.168.10.120 (IP do Siquid)
DNS 192.168.10.120 (ip do squid)

Internet ele acessar mas email nao funciona.

Buckminster
(usa Debian)

Enviado em 17/12/2013 - 12:43h

Você liberou somente a porta 587:

iptables -A FORWARD -p tcp --dport 587 -j ACCEPT

Verifique se o teu serviço de email está escutando nessa porta ou na 25, ou nas duas.

E porque o IP do DNS é o do Squid?

E inverta essas duas ACLs

http_access deny all
http_access allow localhost

PARA

http_access allow localhost
http_access deny all << essa ACL sempre deve ser a última das ACLs http_access.

amigodolinux
(usa Outra)

Enviado em 17/12/2013 - 15:39h

Obrigado Buckminster Resolvido, era no Squid a ordem

Deixei o firewall todo aberto mesmo mas agora vou fechar, era apenas um teste.

Obrigado

Buckminster
(usa Debian)

Enviado em 17/12/2013 - 17:33h

De nada.

andrecanhadas
(usa Debian)

Enviado em 17/12/2013 - 18:15h

Na boa deve rever sua regras de firewall pois não era o squid, pois o mesmo só controla trafego HTTP HTTPS e FTP o email não seria afetado pela ordem do squid.

Buckminster
(usa Debian)

Enviado em 17/12/2013 - 18:45h

Nesse caso acredito que faz sentido André. Pelo menos foi o que eu entendi.

Ele bloqueou parte do acesso ao localhost com o Squid colocando a regra depois de deny all.

E como os protocolos de e-mail (POP3, IMAP, etc) e os protocolos HTTP, HTTPS, etc, fazem parte da mesma camada de aplicação da pilha de protocolos TCP/IP e são interligados, acredito que por isso pode ter ocorrido o problema.
Pode ser que eu esteja enganado, mas no Iptables dele não vi nada que pudesse bloquear o e-mail, além disso ele fez os testes com o Iptables todo liberado.