Sie sind nicht angemeldet.

SuSE email durch die firewall

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

pithag

Anfänger

  • »pithag« ist der Autor dieses Themas

Beiträge: 17

Wohnort: Speyer

  • Nachricht senden

1

04.10.2005, 15:42

email durch die firewall

Ich administriere (so leidlich) einen Linux/Samba Server mit 15 Windows-Clients.
Die Clients kommen mit Squid ins Internet, auf dem Server läuft Suse 9.3 mit der Firewall2.

Nun sollen 3 Windows-Rechner zusätzlich auch emails abholen und versenden dürfen.
Aus den verschiedensten Beiträgen weiß ich mittlerweile, dass ich die ports 25 und 110 freischalten muss, aber wie?
Ich bin auf Befehle iptables und/oder ipchains gestoßen.
Bin ich dabei auf dem richtigen Weg?
Oder geht's auch direkt über YAST?
Oder noch auf einem besseren Weg? :crazy:

Wer hilft????????

Pit

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »pithag« (04.10.2005, 15:47)

framp

Anfänger

  • »framp« ist männlich

Beiträge: 53

  • Nachricht senden

2

04.10.2005, 22:01

/etc/sysconfig/SuSEfirewall

# 13.)
# Which services or networks are allowed to be routed through the
# firewall, no matter which zone they are in?
# Requires: FW_ROUTE
#
# With this option you may allow access to e.g. your mailserver. The
# machines must have valid, non-private, IP addresses which were
# assigned to you by your ISP. This opens a direct link to the
# specified network, so please think twice befor using this option!
#
# Format: space separated list of
# <source network>,<destination network>[,protocol[,port[,flags]]]
#
# If the protocol is icmp then port is interpreted as icmp type
#
# The only flag currently supported is 'ipsec' which means to only
# match packets that originate from an IPsec tunnel
#
# Examples: - "1.1.1.1,2.2.2.2" allow the host 1.1.1.1 to access any
# service on the host 2.2.2.2
# - "3.3.3.3/16,4.4.4.4/24" allow the network 3.3.3.3/16
# to access any service in the network 4.4.4.4/24
# - "5.5.5.5,6.6.6.6,igmp" allow routing of IGMP messages
# from 5.5.5.5 to 6.6.6.6
# - "0/0,0/0,udp,514" always permit udp port 514 to pass
# the firewall
# - "192.168.1.0/24,10.10.0.0/16,,,ipsec \
# 10.10.0.0/16,192.168.1.0/24,,,ipsec" permit traffic
# from 192.168.1.0/24 to 10.10.0.0/16 and vice versa
# provided that both networks are connected via an
# IPsec tunnel.
FW_FORWARD=""

Also bei
# <source network>,<destination network>[,protocol[,port[,flags]]]

192.168.0.0/255.255.255.0, IPAdresseDesMailServers,,smtp 192.168.0.0/255.255.255.0, IPAdresseDesMailServers,,pop3
sofern Deine Clients im 192.168.0.0 Netz sind. Ansonsten anpassen.

Uebrigens:
pop3 = port 110 und smtp = port 25
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

Linus Benedict Torvalds

pithag

Anfänger

  • »pithag« ist der Autor dieses Themas

Beiträge: 17

Wohnort: Speyer

  • Nachricht senden

3

05.10.2005, 11:10

email

Zunächst mal danke, framp, für den Tip.
Doch leider klappt's nicht.
Vielleicht habe ich an den anderen Parametern schon zuvieles verstellt.

Da die firewall auch heute den Samba-Verkehr stört (siehe Beitrag
unten!!), habe ich sie einfach abgeschaltet.

Kann ich email auch ohne FW freischalten?
Nebenbei sollte auch ftp von einem Rechner aus möglich sein.

Die Windows-Clients haben als Standardgateway 192.168.1.1
eingetragen und in der netscape-Kontoverwaltung die üblichen
Adressen.

Wer hilft??

Pit

framp

Anfänger

  • »framp« ist männlich

Beiträge: 53

  • Nachricht senden

4

05.10.2005, 19:07

Im Kommentar steht

Requires: FW_ROUTE

Hast Du das gesetzt? Denn Du musst Deinen Clients erlauben ueber die beiden Ports direkt auf den eMail Server zuzugreifen. Du brauchst forwarding auf dem Router fuer Deine Clients (egal ob FW an oder aus) und dann die Ports zum forwarding offen wenn FW aktiv.

Mach mal 'cat /proc/sys/net/ipv4/ip_forward' und da sollte eine 1 stehen. Sonst ist forwarding disabled.
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

Linus Benedict Torvalds

pithag

Anfänger

  • »pithag« ist der Autor dieses Themas

Beiträge: 17

Wohnort: Speyer

  • Nachricht senden

5

08.10.2005, 10:33

Hallo framp,

gerade habe ich in dem anderen Thema "Netzwerkaussetzer" meinen derzeitigen Stand beschrieben.

Jetzt lese ich, dass du mir ja meine Anfrage eigentlich schon beantwortet hast!

Zitat:
192.168.0.0/255.255.255.0, IPAdresseDesMailServers,,smtp 192.168.0.0/255.255.255.0, IPAdresseDesMailServers,,pop3
sofern Deine Clients im 192.168.0.0 Netz sind. Ansonsten anpassen.
Zitatende

Dabei merke ich, dass ich die zwei Kommas hintereinander nicht eingegeben habe!
Sind die wichtig?
Im Internet habe ich 194.25.2.129 als t-online-Server-Adresse gefunden und eingetragen. Passt die?

Bis dann
Pit

framp

Anfänger

  • »framp« ist männlich

Beiträge: 53

  • Nachricht senden

6

08.10.2005, 20:05

Die Syntax ist
# <source network>,<destination network>[,protocol[,port[,flags]]]
also sind die zwei Kommata wichtig, da sonst smtp und pop3 als protocol und nicht port interpretiert werden.

Ob die Adresse stimmt weiss ich nicht aber Port 25 gibt es da aber nicht - also kann es kein smtp geben.

http://service.t-online.de/c/06/51/16/651168.html liefert alle Infos. Du solltest keine IPAdresse nehmen sondern den Namen. Die sind stabil - die Adressen koennen sich aendern.
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

Linus Benedict Torvalds

pithag

Anfänger

  • »pithag« ist der Autor dieses Themas

Beiträge: 17

Wohnort: Speyer

  • Nachricht senden

7

10.10.2005, 22:51

Hallo framp,

dein letzter Tip klang so vielversprechend, umso größer ist mein Frust, dass es wieder nicht geklappt hat. Ich habe in der Syntax sowohl die Rechnernamen pop.t-online.de als auch die entsprechende IP eingegeben, aber die Weiterleitung durch den Server/Router funktioniert nicht.

Noch ne Idee?

Oder muss ich doch in den sauren iptables-Apfel beißen?
Wer empfiehlt mir was? :keineahnung:

Pit

framp

Anfänger

  • »framp« ist männlich

Beiträge: 53

  • Nachricht senden

8

11.10.2005, 20:19

Also ich erhalte

Quellcode

 
1
2
3
4
5

 root@gateway:~> telnet pop.t-online.de 110
Trying 194.25.134.96...
Connected to pop.t-online.de.
Escape character is '^]'.
+OK T-Online POP3 Server fpopd ready


Beobachte mal das FW low in /var/log/messages oder /var/log/firewall wenn Du den telnet vom Client ausfuehrst. Kommen da Meldungen? Vermutlich. Wenn ja poste die mal.
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

Linus Benedict Torvalds

pithag

Anfänger

  • »pithag« ist der Autor dieses Themas

Beiträge: 17

Wohnort: Speyer

  • Nachricht senden

9

14.10.2005, 19:00

Hallo framp und msp,

danke für die Tips, ich hab das Problem auch dank Eurer Hilfe mittlerweile im Griff.

Mein 1.Fehler war, das ich in SuseFirewall2 unter FW_DEV_EXT die Adresse der Netzwerkarte, die zum Internet führt, angegeben hatte (analog zur FW_DEV_INT).
Unter FW_DEV_EXT muss aber dsl0 stehen, das interface zum Internet!

Nun konnte auch die FW_FORWARD-Regeln wie oben beschrieben greifen:
Zitat:
192.168.1.0/255.255.255.0, mailto.t-online.de,,smtp 192.168.1.0/255.255.255.0, pop.t-online.de,,pop3


Außerdem war es nötig, auf den Windows-Clients in der TCP/IP-Konfiguration unter DNS die IP des Servers 192.168.1.1 einzutragen. (Hatte ich aus einem anderen Forum)

So, jetzt kann ich mich den "normalen" Adminstrationsproblemchen zuwenden.

Pit :blume2:
Thema bewerten