Автор Тема: почтовый сервер и iptables  (Прочитано 3059 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ffrr

почтовый сервер и iptables
« : 11 Июня 2014, 11:53:12 »
настраивается почтовый сервер Postfix+Dovecot+Roundcube c 2-мя интерфейсами-1 смотрит в локалку 192.168.1.0 а второй с внешним реальным айпишником от ISP; как нужно настроить iptables в таком случае-достаточно просто включить ipv4 forwarding в ядре или надо посложнее настраивать iptables?
ffrr
 

Оффлайн endru

Re: почтовый сервер и iptables
« Ответ #1 : 11 Июня 2014, 12:11:45 »
а причем здесь iptables и перенаправление пакетов?

на каком интерфейсе настроишь Postfix+Dovecot+Roundcube на таком и будет работать.

программам, по умолчанию всегда будут доступны все доступные интерфейсы!

Оффлайн ffrr

Re: почтовый сервер и iptables
« Ответ #2 : 11 Июня 2014, 12:19:08 »
другими словами для юзеров из локалки, чтобы они юзали нормально и Roundcube через браузер и подключались Thunderbird_ом к серверу напрямую достаточно чтобы этот сервер был им доступен на физическом уровне, а на самом сервере никаких дополнений касательно iptables не нужно?
ffrr
 

Оффлайн endru

Re: почтовый сервер и iptables
« Ответ #3 : 11 Июня 2014, 12:29:34 »
если iptables не блокирует порты на внешнем и внутреннем IP адресах, то дополнительно ничего настраивать в iptables не нужно!

Оффлайн ffrr

Re: почтовый сервер и iptables
« Ответ #4 : 11 Июня 2014, 12:47:45 »
ну вообще, если нужны только открыты порты для почты а всё остальное закрыто, то:
#!/bin/bash

#Очистка всех цепочек
iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -X
iptables -X -t nat
iptables -X -t mangle

#Политика по умолчанию - запретить все, что не разрешено
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Разрешаем обращение к lo интерфейсу
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT

#Пропускать уже инициированные, а также их дочерние
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

#Пропускать новые, инициированные, а также их дочерние
iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#Разрешаем обращение к почтовым портам
iptables -A INPUT -p tcp -m multiport --dports 25,110,143,443,465,587,993,995,11211 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sports 25,110,143,443,465,587,993,995,11211 -j ACCEPT

Для запуска скрипта с настройками iptables при старте системы помещаем его в /etc/network/if-up.d/

Даем права на выполнение:
# chmod +x /etc/network/if-up.d/iptables


или есть более изящное решение?
ffrr
 

yura_n

  • Гость
Re: почтовый сервер и iptables
« Ответ #5 : 11 Июня 2014, 16:06:25 »
Учитывая что используется state (и состояние NEW в нем), следующее правило будет лишним:
iptables -A OUTPUT -p tcp -m multiport --sports 25,110,143,443,465,587,993,995,11211 -j ACCEPT

Зачем давать права на исполнение iptables? Обычно оно и так есть.

P.S.
Можно вовсе убрать строку (в ней особого смысла нет, в вашем случае):
iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
И тогда использовать правило как у вас:
iptables -A OUTPUT -p tcp -m multiport --sports 25,110,143,443,465,587,993,995,11211 -j ACCEPT
« Последнее редактирование: 11 Июня 2014, 16:36:57 от yura_n »
 

Оффлайн ffrr

Re: почтовый сервер и iptables
« Ответ #6 : 11 Июня 2014, 20:22:11 »
спасибо, поправил...
ffrr
 

Теги:
     

    Не бейте ногами или почтовый серевер на DEBIAN своми руками.

    Автор vetrov

    Ответов: 6
    Просмотров: 2037
    Последний ответ 10 Октября 2014, 12:44:39
    от vetrov
    Почтовый сервер

    Автор Изжог

    Ответов: 7
    Просмотров: 2733
    Последний ответ 08 Августа 2012, 08:30:36
    от Изжог
    Почтовый сервер.

    Автор Mystique

    Ответов: 3
    Просмотров: 2154
    Последний ответ 14 Октября 2014, 10:47:36
    от endru
    Помогите настроить почтовый сервер

    Автор diefair

    Ответов: 4
    Просмотров: 1936
    Последний ответ 24 Декабря 2015, 14:08:57
    от diefair
    Почтовый сервер

    Автор Хейши

    Ответов: 4
    Просмотров: 2044
    Последний ответ 01 Декабря 2013, 22:40:50
    от demon_666_902