CLIENTES DE CORREO A TRAVEZ DE SQUID

Forums: 

Hola a todos:

Soy un usuario no muy avanzado en linux, pero logré implementar squid, con 2 tarjetas de red eth0 sale hacia internet con ip 152.x.x.x, y eth1 con la ip 192.168.0.1 que es mi red interna.

Todos los usuarios de mi red interna (10 pc) navegan sin problema (configurando en los navegadores la direccion del proxy) y logro filtrar las páginas que deseo, pero mi problema va con los clientes de correo.... no bajan ni envìan correos.

he leido un monton en la net, pero no consigo hacerlo funcionar, agradecerìa enormemente si alguien me ayuda.

al parecer necito configurar ip tables, pero necesito una mano... bueno... las dos...

Gracias, por sus aportes.

eth0 y eth1

Imagen de richard007

hola disculpa la demora revise recien tu duda en efecto yo al igual q tu uso la eth0 (mi interfaz para salir a internet) y eth1 (mi interfaz interna proxy/firewall) para mis clientes......

---------richard007-----------
Red Hat Certified Technician
Linux Registered User # 493753
RedLinux SRL www.redlinux.com.pe
www.colisol.org

aun no me funciona.... help

Hola a todos,

probe las configuraciones que me indicaron arriba amablemente, pero sigo sin conseguir descargar los correos del outlook en los clientes

así quedó mi iptables.

#!/bin/sh

PRIVATE=192.168.1.0/16 ######VARIABLES
LOOP=127.0.0.1

## Borrado de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#### Reglas para encontrar puertos dinamicos de escucha FTP ####
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
#### Estan fueron las reglas para habilitar Connection Tracking

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Nota: eth0 es el interfaz que de salida a internet(152.74.x.x) (conectado al router) y eth0:1 a la LAN(192.168.1.1)

## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:8080
# Hacemos enmascaramiento de la red local (NATEO)
iptables -t nat -A POSTROUTING -s 192.168.1.0/16 -o eth0 -j MASQUERADE

#Activamos el BIT DE FORWARDING
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

############ REGLAS DE FIREWALL A LAN Y EXTERIOR

# A nuestra IP le dejamos acceder a sitios web de internet:
iptables -A OUTPUT -d 152.74.x.x -p tcp --dport 80 -j ACCEPT #esta es la ip pública
iptables -A INPUT -s 152.74.x.x -p tcp --sport 80 -j ACCEPT

# A nuestra IP le dejamos acceder a sitios web de internet:
iptables -A OUTPUT -d 152.74.x.x -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 152.74.x.x -p udp --sport 53 -j ACCEPT

# A nuestra IP le dejamos acceder a sitios https de internet:

iptables -A OUTPUT -d 152.74.x.x -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 152.74.x.x -p tcp --sport 443 -j ACCEPT

# A nuestra IP le dejamos acceder a sitios ftp:
iptables -A OUTPUT -d 152.74.x.x -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -s 152.74.x.x -p tcp --sport 20:21 -j ACCEPT

### correo smtp, imap, pop 3 x si los necesitas

iptables -A OUTPUT -d 152.74.x.x -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 152.74.x.x -p tcp --sport 25 -j ACCEPT

iptables -A OUTPUT -d 152.74.x.x -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -s 152.74.x.x -p tcp --sport 143 -j ACCEPT

iptables -A OUTPUT -d 152.74.x.x -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -s 152.74.x.x -p tcp --sport 110 -j ACCEPT

######## AHORA DE LA LAN AL EXTERIOR

# A la LAN le dejamos acceder a sitios web de internet:

iptables -A FORWARD -d 192.168.1.0/16 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/16 -p tcp --sport 80 -j ACCEPT

iptables -A FORWARD -d 192.168.1.0/16 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/16 -p tcp --sport 443 -j ACCEPT

iptables -A FORWARD -d 192.168.1.0/16 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/16 -p udp --sport 53 -j ACCEPT

iptables -A FORWARD -d 192.168.1.0/16 -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/16 -p tcp --sport 20:21 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

a pesar de todo lo anterior desde mis clientes no puedo acceder al correo.
al hacer un iptable -L me sale esto:

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- uala.enlaces.udec.cl anywhere tcp spt:www
ACCEPT udp -- uala.enlaces.udec.cl anywhere udp spt:domain
ACCEPT tcp -- uala.enlaces.udec.cl anywhere tcp spt:https
ACCEPT tcp -- uala.enlaces.udec.cl anywhere tcp spts:ftp-data:ftp
ACCEPT tcp -- uala.enlaces.udec.cl anywhere tcp spt:smtp
ACCEPT tcp -- uala.enlaces.udec.cl anywhere tcp spt:imap2
ACCEPT tcp -- uala.enlaces.udec.cl anywhere tcp spt:pop3
ACCEPT all -- 192.168.1.0 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 192.168.0.0/16
ACCEPT all -- 192.168.0.0/16 anywhere
ACCEPT tcp -- anywhere 192.168.0.0/16 tcp dpt:www
ACCEPT tcp -- 192.168.0.0/16 anywhere tcp spt:www
ACCEPT tcp -- anywhere 192.168.0.0/16 tcp dpt:https
ACCEPT tcp -- 192.168.0.0/16 anywhere tcp spt:https
ACCEPT udp -- anywhere 192.168.0.0/16 udp dpt:domain
ACCEPT udp -- 192.168.0.0/16 anywhere udp spt:domain
ACCEPT tcp -- anywhere 192.168.0.0/16 tcp dpts:ftp-data:ftp
ACCEPT tcp -- 192.168.0.0/16 anywhere tcp spts:ftp-data:ftp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere uala.enlaces.udec.cl tcp dpt:www
ACCEPT udp -- anywhere uala.enlaces.udec.cl udp dpt:domain
ACCEPT tcp -- anywhere uala.enlaces.udec.cl tcp dpt:https
ACCEPT tcp -- anywhere uala.enlaces.udec.cl tcp dpts:ftp-data:ftp
ACCEPT tcp -- anywhere uala.enlaces.udec.cl tcp dpt:smtp
ACCEPT tcp -- anywhere uala.enlaces.udec.cl tcp dpt:imap2
ACCEPT tcp -- anywhere uala.enlaces.udec.cl tcp dpt:pop3

Porfavor, espero sus orientaciones para seguir adelante. y gracias por sus tiempo.

quiza debas de revisar el router

Imagen de richard007

hola quiza debas de revisar si en tu router esta habilitado algun tipo de firewall y e este denegando la salida de correos port 25, 110,143 siempre es bueno abrir los 3 puertos en caso de correo ahoraaa .....otra cosa veo arriba q tienes eth0 (hacia internet) y eth0:1 (LAN) esta interfaz eth0:1 es una interfaz virtual, stas virtualizando pregunto por los :antes de 1,,, xq si se trata de eso en mi corta experiencia se q un firewall no funciona sobre tarjetas virtuales....respondeme y revisa.....

---------richard007-----------
Red Hat Certified Technician
Linux Registered User # 493753
RedLinux SRL www.redlinux.com.pe
www.colisol.org

prueba asi, sigues teniendo

Imagen de falcom

prueba asi, sigues teniendo errores, eso de los q avance a corregir
0j0 hay que configurar bien el relay del servidor SMTP

iptables -A INPUT -s ip_publica/mask -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s ip_publica/mask -p tcp --dport 110 -j ACCEPT

en la parte de los DNS
debe ir asi

iptables -A INPUT -s ip_publica_de_los_dns -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d ip_publica_de_los_dns -p udp -m udp --dport 53 -j ACCEPT

asi lo repites si tienes dos DNS (generalmente se tiene x lo menos 2)
no se x q lo tinees asi

iptables -A FORWARD -d 192.168.1.0/16 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/16 -p udp --sport 53 -j ACCEPT

corregir script

Imagen de richard007

ahora parece q me ekivoque con el scrip o te equivocaste en copiar las reglas van de origen a destino ---osea de s-----> d

#!/bin/sh

PRIVATE=192.168.1.0/16 ######VARIABLES
LOOP=127.0.0.1

## Borrado de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#### Reglas para encontrar puertos dinamicos de escucha FTP ####
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
#### Estan fueron las reglas para habilitar Connection Tracking

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Nota: eth0 es el interfaz que de salida a internet(152.74.x.x) (conectado al router) y eth0:1 a la LAN(192.168.1.1)

## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:8080
# Hacemos enmascaramiento de la red local (NATEO)
iptables -t nat -A POSTROUTING -s 192.168.1.0/16 -o eth0 -j MASQUERADE

#Activamos el BIT DE FORWARDING
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

############ REGLAS DE FIREWALL A LAN Y EXTERIOR

# A nuestra IP le dejamos acceder a sitios web de internet:
iptables -A OUTPUT -s 152.74.x.x -p tcp --dport 80 -j ACCEPT #esta es la ip pública
iptables -A INPUT -d 152.74.x.x -p tcp --sport 80 -j ACCEPT

# A nuestra IP le dejamos acceder a sitios web de internet:
iptables -A OUTPUT -s 152.74.x.x -p udp --dport 53 -j ACCEPT
iptables -A INPUT -d 152.74.x.x -p udp --sport 53 -j ACCEPT

# A nuestra IP le dejamos acceder a sitios https de internet:

iptables -A OUTPUT -s 152.74.x.x -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -d 152.74.x.x -p tcp --sport 443 -j ACCEPT

# A nuestra IP le dejamos acceder a sitios ftp:
iptables -A OUTPUT -s 152.74.x.x -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -d 152.74.x.x -p tcp --sport 20:21 -j ACCEPT

### correo smtp, imap, pop 3 x si los necesitas

iptables -A OUTPUT -s 152.74.x.x -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -d 152.74.x.x -p tcp --sport 25 -j ACCEPT

iptables -A OUTPUT -d 152.74.x.x -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -d 152.74.x.x -p tcp --sport 143 -j ACCEPT

iptables -A OUTPUT -s 152.74.x.x -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -d 152.74.x.x -p tcp --sport 110 -j ACCEPT

######## AHORA DE LA LAN AL EXTERIOR

# A la LAN le dejamos acceder a sitios web de internet:

iptables -A FORWARD -s 192.168.1.0/16 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/16 -p tcp --sport 80 -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/16 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/16 -p tcp --sport 443 -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/16 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/16 -p udp --sport 53 -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/16 -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/16 -p tcp --sport 20:21 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

lo q sta con negrita corregi prueba y me cuentas............

-----richard007------

---------richard007-----------
Red Hat Certified Technician
Linux Registered User # 493753
RedLinux SRL www.redlinux.com.pe
www.colisol.org

cambiando IPS

Imagen de richard007

Hola sres aca veo lo q pasa les explico en mi script de firewall la direccion 172.16.1.50 es la ip interna de mi servidor firewall/proxy osea eth1 ,,, eth0 es la ip para salir a internet 192.168.1.1 y mi red lan : 172.16.1.0/24.... spero aclare sus dudas....ojo no uso ip publica para nada,,,, la eth0 es una ip de la misma red privada del router se supone q todo router tiene una ippublica y una privada.....

---------richard007-----------
Red Hat Certified Technician
Linux Registered User # 493753
RedLinux SRL www.redlinux.com.pe
www.colisol.org

Probando indicaciones

Estimados, en relación a las tarjetas tengo 2 tarjetas de red físicas la confusión fue un error del comentario, en ralidad sí son dos tarjetas de red.

Lo otro es que no tengo ninguna restricción para los clientes de correo, yo conect cualquier cliente al cable que alimenta mi eth0 (salida a internet) y configuro la ip bum.. baja sin problemas los correos. creo que netamente mi problema es del iptables.

voy a probar los ajustes que me indican y les comento....

muchas gracias por sus buenos comentarios

aplique los ajustes y no funciona.

Estimados, aplique los ajustes que me mencionan , agregué lineas de sobre por si acaso, pero nada....

este es mi iptables. (solo envio las lineas relevantes al correo pop3 y smtp, el resto está tal cual me indicó ricardo Dávila,

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Nota: eth0 es el interfaz que nos da salida a internet(152.74.121.111) (conectado al router) y eth1 a la LAN (192.168.1.1)

## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT

#redirecciona las peticiones del puerto 80 de los clientes de la red interna al squid (eth1).
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:8080 #direccion del eth1
# Hacemos enmascaramiento de la red local (NATEO)
iptables -t nat -A POSTROUTING -s 192.168.1.0/16 -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

############ REGLAS DE FIREWALL A LAN Y EXTERIOR ####################
iptables -A INPUT -s 152.74.X.X/255.255.252.0 -p tcp --dport 25 -j ACCEPT #acotado por falcom
iptables -A INPUT -s 152.74.X.X/255.255.252.0 -p tcp --dport 110 -j ACCEPT #acotado por falcom

# A nuestra IP le dejamos acceder a sitios web de internet y ftp:
iptables -A OUTPUT -s 152.74.X.X -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -d 152.74.X.X -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -s 152.74.X.X -p udp --dport 53 -j ACCEPT
iptables -A INPUT -d 152.74.X.X -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -s 152.74.X.X -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -d 152.74.X.X -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -s 152.74.X.X -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -d 152.74.X.X -p tcp --sport 20:21 -j ACCEPT

### correo smtp, imap, pop 3 x si los necesitas

iptables -A OUTPUT -s 152.74.X.X -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -d 152.74.X.X -p tcp --sport 25 -j ACCEPT

iptables -A OUTPUT -s 152.74.X.X -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -d 152.74.X.X -p tcp --sport 110 -j ACCEPT

###################### REGLAS LAN AL- EXTERIOR ######################

# A la LAN le dejamos acceder a sitios web de internet:

#DNS PRIMARIO , otro aporte hecho por falcom
iptables -A INPUT -s 152.74.16.14 -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d 152.74.16.14 -p udp -m udp --dport 53 -j ACCEPT

#DNS SECUNDARIO, otro aporte hecho por falcom
iptables -A INPUT -s 152.74.16.12 -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d 152.74.16.12 -p udp -m udp --dport 53 -j ACCEPT

#DNS PRIMARIO SMTP, otro aporte hecho por falcom
iptables -A INPUT -s 152.74.16.14 -p udp -m udp --sport 25 -j ACCEPT
iptables -A OUTPUT -d 152.74.16.14 -p udp -m udp --dport 25 -j ACCEPT

#DNS SECUNDARIO SMTP, otro aporte hecho por falcom
iptables -A INPUT -s 152.74.16.12 -p udp -m udp --sport 25 -j ACCEPT
iptables -A OUTPUT -d 152.74.16.12 -p udp -m udp --dport 25 -j ACCEPT

#DNS PRIMARIO POP3, otro aporte hecho por falcom
iptables -A INPUT -s 152.74.16.14 -p udp -m udp --sport 110 -j ACCEPT
iptables -A OUTPUT -d 152.74.16.14 -p udp -m udp --dport 110 -j ACCEPT

#DNS SECUNDARIO POP3, otro aporte hecho por falcom
iptables -A INPUT -s 152.74.16.12 -p udp -m udp --sport 110 -j ACCEPT
iptables -A OUTPUT -d 152.74.16.12 -p udp -m udp --dport 110 -j ACCEPT

#esta seccion no se presisamente para que sirve pero = está activado
iptables -A FORWARD -s 192.168.1.0/16 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/16 -p tcp --sport 80 -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/16 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/16 -p tcp --sport 443 -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/16 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/16 -p udp --sport 53 -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/16 -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/16 -p tcp --sport 20:21 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Por favor...... estoy ya mareado, pero quiero seguir intentándolo, claro... con vuestra noble ayuda.

grax, quedo a la espera.

Páginas