Ayuda en configuración de servidores squid, sendmail, ...

Forums: 

Hola

Un feliz año a todos.

Necesito ayuda tengo un servidor que cumple varias funciones las principales son servidor de correos (sendmail, dovecot, squirelmail), proxy (squid), firewall (iptables, firestarter).

El problemas es que si inicio el firestarter deja de funcionar el servidor de correos (mejor dicho no se pueden concetar los clientes), pero permite conectarse al servidor y salir externamente a otros servidores ftp. Si detengo el firestarter el correo funciona normalmente pero es imposible conectarse via FTP.

Asumo que es una falla en la configuración de iptables, hasta donde entiendo firestarter es solo un GUI para iptables.

Si alguien me puede dar un consejo sobre este problema estaria muy agradecido.

Si es necesario subo las configuraciones.

Gracias

De pronto podrías usar otro

Imagen de jcyepez

De pronto podrías usar otro tipo de firewall diferente a Firestarter, ya que a mi parecer no puedes ver del todo que es lo que estas bloqueando y que no, además me parece que solo permite trabajar con una sola interface de red.

Podría recomendarte del uso de rc.firewall que si no me equivoco epe mantiene un script muy bueno en base al original.

Si quieres un firewall más personalizado te puedo brindar la ayuda sin ningún inconveniente pero te sugiero chequear el rc.firewall que lo he usuado algunas veces y es muy bueno.

Saludos

Juan Yépez
093681879

Saludos

Juan Yépez
0993681879
Dj - Discomovil Quito

Si necesitas una guia, mira

Imagen de damage

Si necesitas una guia, mira los "Comos", encontraras mucha informaciòn, puedes tambien ver los manuales que estan en alcancelibre.org, aca en el foro se ha tratado ampliamente temas como iptables, squid, etc, es solo de que busques los post anteriores.

Keep The Fire Burning.....
Stryper 1988

Deberias checar bien los

Imagen de falcom

Deberias checar bien los puertos cual abres y cual cierras, del orden en los cuales cierras y abres los puertos igual dependen los servicios q corren detras de tu firewall. Yo te recomiendo hacer a "pata" un script hay mchos ejemplos en inet y luego ir personalizando servicio x servicio para q tengas mejor control
Salu2

Tu configuraste el

Imagen de NEO

Tu configuraste el firewall?

Que puertos dejaste abiertos?
Podrías especificar algo mas de información al respecto ya que no se te puede dar una mano con la información que has dejado.

Saludos
NEO

Shorewall

Imagen de jlauio

HOla
Primero que nada te recomendaría por lo menos sacar el firewall a otro equipo, he leido que no es muy recomendable tener al frewall compartiendo trabajo con otros servicios, es por cuestiones de seguridad.
Otra cosa por qué no pruebas con shorewall, trabaja super bien y hay muchisima información en el Internet.
De lo que cuentas tu problema debe ser por el orden en el que estas poniendo tus iptables, es sumamente importante el orden.

Aguante el Open Source!!!!
SAludos
JOse

Aguante el Open Source!!!!
SAludos
JOse

config

Esta es la configuración de iptables:
espero sirva de algo.

Gracias por su ayuda.


# Firewall configuration written by redhat-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
# -A RH-FIREWALL-1-INPUT -p 22 -j ACCEPT
-A INPUT -p TCP --dport 22 -j ACCEPT
-A INPUT -p TCP --dport 80 -j ACCEPT
-A INPUT -p TCP --dport 3128 -j ACCEPT
-A INPUT -p TCP --dport 8080 -j ACCEPT
-A INPUT -p TCP --dport 110 -j ACCEPT
-A INPUT -p TCP --dport 25 -j ACCEPT
-A INPUT -p TCP --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp -j ACCEPT
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 200.32.72.xxx/255.255.255.248 -j ACCEPT
COMMIT
# Completed

Intenta haciendo un proxy

Intenta haciendo un proxy transparente, no veo ninguna regla de PREROUTING, capaz por eso funciona ftp cuando inicias Firestarter porque squid permite ftp y http, pero deniega todo.

Saludos,

Si usas firestarter estas

Imagen de damage

Si usas firestarter estas fregado ya que no hace la función de REDIRECT en el NAT, eso debes colocoarlo a mano, lo unico que hace es enmascarar, lo mejor es que te hagas tu script de iptables para que puedas tener tu Proxy transparente, de lo contrario negado con el firestarter, además que es un proyecto viejo que ya no tiene soporte.

Keep The Fire Burning.....
Stryper 1988

Si quieres una herramineta

Imagen de isacnet

Si quieres una herramineta intuitiva para tu firewall puedo recomendarte www.fwbuider.org

Slds

_______________________________________
Trend Micro el mejor antivirus del mundo 40% del mercado mundial de gateway
240 millones de usuarios no pueden equivocarse
http://www.trendmicro.com.ec
Mercadeo@trendmicro.com.ec

_______________________________________
ISACNET S.A.
Ecuador: +593-2-3238590
Perú: +51-1-4223796

HP y Trend Micro, lo mejor de 2 mundos en un solo Socio de Negocios
http://www.isacnet.com.pe

Páginas