Forums:
Hola a todos la gente de la Red:
Tengo Email Server SquirrelMail version 1.4.8-2.el4.centos4, hace varios dias me ayudaron a enviar mensajes con adjuntos mas grandes, estuvo calidad, pero días después, se me ha presentado un problema del cual no se como resolver, ya tengo algunos dias con este problema de accesibildad al Mail Server (www.transdyr.com.ec):
Voy a tratar de ser lo mas descriptivo posible:
Firewall (IP: 201.217.110.226 externa, IP:192.190.10.87 interna de la red)
S.O.: Linux CentOs-4
Email server (IP:192.190.10.145 interna de la red)
S.O.: Linux CentOs-4
1.- La señal de Internet del proveedor llega al modem (acceso corporativo) y entra a tarjeta de Red de Firewall IP publica 201.217.110.226 haciendo un tracert desde fuera la traza llega sin problema.
2.- Este Firewall, tambien es Proxy y las demas PC de la red navegan sin problema.
3.- El mail server desde dentro de la red.. no tiene problema alguno.
4.- Cuando se hace un tracert dsde fuera, al server 201.217.110.227 (www.transdyr.com.ec) la traza dice al ultimo "..Host de destino Inaccesible.." o se queda en la IP: 200.63.212.15
5.- Las reglas del Firewall (shorewall) no han sido cambiadas para nada y los puertos utilizados para redireccionar hacia el Email Server dicen (archivo /etc/shorewall/rules):
DNAT net loc:192.190.10.145 tcp 80 - 201.217.110.227 (para web)
DNAT net loc:192.190.10.145 tcp 25 - 201.217.110.227 (para smtp)
DNAT net loc:192.190.10.145 tcp 110 - 201.217.110.227 (para pop3)
5.- La configuracion de policies, zones, intefaces, masq, las revise... estan sin cambios, osea estan tal y como estaban cuando todo estaba normal.
Como debo hacer o que debo hacer para que el server (mail/httpd) deje de estar inaccesible, que sevicios debo verificar en el server esten subidos... no se... o que informacion necesitan para verificar la accesibilidad de este correo.
Será que es problema del proveedor de Internet..que no apunta bien...? (satnet)
No se que hacer... estoy mas perdido que gaviota en Bolivia.... je je
AYUUUUUDA POR FAVOOOOOR.
La persona quien instalo CentOs Firewall (shorewall) Squirrel, creo no esta en el País.
Agradecere como el que más a quien pueda guiarme para resolver este problema de accesibilidad.
Disculpas por ser tan pesado y extenso... y mil gracias de antemano
Patricio
Tengo tarea gracias por darme esos links
Gracias a ti, ya tengo tarea y aprender lo del Shorewall para CentOs
y buscar una solucion a mi problema
Shorewall
Shorewall es muy facil de configurar primeramente
muestrame tu policy luego tu rules
Ejemplo
net fw tcp 80
net fw tcp 25
net fw tcp 110
algo haci deberia estar
\m/death metal\m/
Archivos rules y policies
Hola deathgrind:
Te envio los archivos para que los revises...
Gracias por tu ayuda
# RULES
Ping/ACCEPT loc $FW
Ping/ACCEPT net $FW
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
HTTP/ACCEPT $FW net
ACCEPT loc $FW tcp 3128
# Redireccion para el proxy
REDIRECT loc 3128 tcp 80 - !192.190.10.87
# Nat para la parte web
DNAT net loc:192.190.10.145 tcp 80 - 201.217.110.227
# Nat para el SMTP
DNAT net loc:192.190.10.145 tcp 25 - 201.217.110.227
# Nat para el POP3
DNAT net loc:192.190.10.145 tcp 110 - 201.217.110.227
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
# POLICIES
#
# Policies for traffic originating from the local LAN (loc)
#
# If you want to force clients to access the Internet via a proxy server
# on your firewall, change the loc to net policy to REJECT info.
loc net ACCEPT
loc $FW REJECT info
loc all REJECT info
#
# Policies for traffic originating from the firewall ($FW)
#
# If you want open access to the Internet from your firewall, change the
# $FW to net policy to ACCEPT and remove the 'info' LOG LEVEL.
# This may be useful if you run a proxy server on the firewall.
$FW net REJECT info
$FW loc REJECT info
$FW all REJECT info
#
# Policies for traffic originating from the Internet zone (net)
#
net $FW DROP info
net loc DROP info
net all DROP info
# THE FOLLOWING POLICY MUST BE LAST
all all REJECT info
#LAST LINE -- DO NOT REMOVE
haber
haber primero guarda una copia de policy rules interface zones
luego en tu policy debe quedar haci
fw loc ACCEPT
net all DROP
all all REJECT
en tu rules basta con esta reglas
ACCEPT net fw tcp 80
ACCEPT net fw tcp 25
ACCEPT net fw tcp 110
# Nat para la parte web
DNAT net loc:192.190.10.145 tcp 80 - 201.217.110.227
# Nat para el SMTP
DNAT net loc:192.190.10.145 tcp 25 - 201.217.110.227
# Nat para el POP3
DNAT net loc:192.190.10.145 tcp 110 - 201.217.110.227
ACCEPT net fw icmp 8
ACCEPT loc fw icmp 8
# ROUTE-NET
ACCEPT fw net ALL
# LOC-ROUTE
ACCEPT loc fw tcp 3128
REDIRECT loc 3128 tcp 80 - !192.190.10.87
ACCEPT loc fw tcp ssh
ACCEPT loc fw tcp 80
ACCEPT loc fw tcp 53
ACCEPT loc fw udp 53
# LOC-NET
ACCEPT loc net ALL
## En tu interfaces
net eth0 detect
loc eth1 detect
verifica cual es tu tarjeta hacia el internet y cual hacia la red local cualkier error
verifica con un
tail -f /var/log/shorewall-init.log
suerte
mtr 201.217.110.226
4. host-200-93-205-37.telconet.net 0.0% 3 19.7 31.4 18.9 55.5 20.9
5. 10.201.12.182 0.0% 2 19.3 30.6 19.3 41.9 16.0
6. 10.201.11.188 0.0% 2 20.7 16.3 12.0 20.7 6.1
7. 10.201.12.109 0.0% 2 12.0 14.2 12.0 16.4 3.1
8. 10.201.11.253 0.0% 2 39.9 28.5 17.2 39.9 16.1
9. host-200.93.216.253.uio.telconet.net 0.0% 2 21.1 23.2 21.1 25.3 3.0
10. 10.201.22.236 0.0% 2 25.7 22.1 18.5 25.7 5.0
11. 200.1.6.5 0.0% 2 20.5 20.5 20.5 20.5 0.0
12. sw3l.uio.satnet.net 0.0% 2 36.5 38.4 36.5 40.3 2.7
13. ???
14. 226.201-217-110.uio.satnet.net
Ya lo hice.... Sigue igual..
Si me pudieses dar una direccion donde enviarte los archivos policy, rules, Iterfaces, etc
te agradecere infinitamente.
Por otro lado estoy configurando otra maquina Linux y otro Firewall.
Tambien voy a probar con una PC Windows directamente conectada al modem.. sin firewall
con un email server free con la IP real (201.217.110.227) y hare pruebas.
Quiero entender que paso. Sin haber topado siquiera el Server y Firewall dejo de salir al aire la pagina, no se, creo que me estoy volviendo loco.
Gracias por tu ayuda.
YA SE ARREGLOOOOOOOO....
Esta cuestion ha sido mucho mas simple de lo que me imagine..
No habia un ALIAS..... en los archivos del linux (firewall)
Por alguna razon, la más valida es corte de energia electrica... y el UPS
cayo.... pero al regresar la energia.. subio firewall, mail server... pero sin este bendito ALIAS...
lo creo con el comando:
ifconfig eth0: 0 201.217.110.227 (ip del correo que no lo via) netmask 255.255.255.248
y eso fue todo... en seguida funciono a las mil maravillas...
Mil Gracias a todos
caida de alias de interfaces de red
para que esto no te vuelva a pasar, revisa en /etc/sysconfig/network-scripts si existe el archivo correspondiente a la interfaz eth0:0 (deberia llamarse ifcfg-eth0:0 si no me equivoco). Usa las variables definidas en los otros archivos de ese directorio para definir la interfaz. Con eso, cada vez que arranque la maquina, la interfaz se levantara sin necesidad de tu intervencion.
Que raro que no hayan dejado eso configurado y hayan hecho prueas de reiniciado (uno nunca sabe cuando se puede ir la energia...). En fin, que bueno que finalmente lo pudiste resolver.
Páginas