[CentOS-es] Quebradura de cabeza iptables
Maykel Franco Hernández
maykel en maykel.es
Mie Feb 17 13:46:41 UTC 2010
Si eso de los puertos es verdad y estoy totalmente de acuerdo contigo pero
entonces dejaría muchos puertos abiertos no cres?? Y vale cuando entro con
un cliente de correo puedo entrar con el puerto 2340 4500 etc etc pero al
fin y al cabo cuando envio la conexion se hace con el puerto 25 del
servidor de correo. Y el cliente de correo lo utilizo desde otro host no
desde el mismo servidor. No obstante el servidor no tiene ninguna regla a
la hora de salir, solo de entrada y supuestamente en todos los manuales
que he visto de iptables y digo "TODOS" solo hay que habilitar el 25, 110
y 143 si se quiere imap.
>
> Espero no estar cometiendo algun error garrafal, pero si mal no recuerdo,
> está definido que los puertos hasta el 1023 sean los puertos "conocidos" y
> usados por servicios y otros necesarios del sistema. Desde el 1024 hasta
> el 65535 son los que pueden usar las aplicaciones. Entonces mi suposición
> es que necesitas abrir los puertos altos para que la aplicación -digamos
> thunderbird- ejecute bien y puedas enviar el correo, en otro caso jamás lo
> hará puesto que tienes tu política por defecto en DROP.
>
>> Date: Wed, 17 Feb 2010 13:20:58 +0100
>> From: maykel en maykel.es
>> To: centos-es en centos.org
>> Subject: Re: [CentOS-es] Quebradura de cabeza iptables
>>
>> El Forward está en ACCEPT y es para redirigir tráfico. Eso no tendría
>> nada
>> que ver ya que el iptables está en el mismo server de correo.
>>
>>
>> > Estimado, veo que ha abierto otro hilo con esto, bueno. Sabe, no he
>> visto
>> > nada de la Politica de FORWARD, la tiene activada? eso permite el
>> envio de
>> > correo.
>> >
>> > Atte.
>> >
>> > El 17 de febrero de 2010 08:14, Maykel Franco Hernández
>> > <maykel en maykel.es>escribió:
>> >
>> >> Tiene entorno grafico no??
>> >>
>> >> > Shorewall es una implementación de iptables, solo te hace la vida
>> mas
>> >> > facil :) ya que no tenes que tirar comandos de iptables sino que el
>> lo
>> >> > hace por vos en base a los archivos de config que tiene.
>> >> >
>> >> > Saludos ...
>> >> >
>> >> >
>> >> > El 17/02/10, Maykel Franco Hernández <maykel en maykel.es> escribió:
>> >> >> Gracias pero es que realmente me jode que para un server de correo
>> >> que
>> >> >> solo necesites esos 3 puertos no te funcione cuando los estoy
>> >> >> habilitando
>> >> >> y con ssh, web, samba me funcione y con el server de correo solo
>> >> pueda
>> >> >> ver
>> >> >> el correo y no pueda enviar. Creo que iptables es el mejor
>> firewall
>> >> pero
>> >> >> probaré shorewall
>> >> >>
>> >> >>> Te recomiendo que si estas enredado con iptables uses algo que
>> las
>> >> >>> implemente, yo uso Shorewall es muy bueno con algunos archivos de
>> >> >>> config tenes tu FW funcionando.
>> >> >>>
>> >> >>> Saludos ...
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> El 17/02/10, Maykel Franco Hernández <maykel en maykel.es> escribió:
>> >> >>>> Muy buenas, siento ser pesado con este tema pero me tiene loco
>> >> >>>> iptables.
>> >> >>>> Ya entendi el porque no me dejaba listar los directorios home de
>> >> los
>> >> >>>> ftp
>> >> >>>> pero ahora lo que no entiendo es porque no me deja enviar
>> correos.
>> >> >>>> Cabe
>> >> >>>> destacar que la politica de salida(OUTPUT) está puesta como para
>> >> que
>> >> >>>> acepte todo(ACCEPT). Simplemente tengo puesto por politica que
>> todo
>> >> lo
>> >> >>>> que
>> >> >>>> entre lo rechace excepto los servicios establecidos y
>> relacionados
>> >> que
>> >> >>>> son
>> >> >>>> los siguientes:
>> >> >>>>
>> >> >>>> #Politica general.Cerramos todo.Dejamos entrar lo solicitado
>> >> >>>> iptables -P INPUT DROP
>> >> >>>> iptables -P OUTPUT ACCEPT
>> >> >>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> >> >>>>
>> >> >>>> iptables -A INPUT -p TCP --dport 25 -j ACCEPT
>> >> >>>> iptables -A INPUT -p TCP --dport 110 -j ACCEPT
>> >> >>>> iptables -A INPUT -p TCP --dport 143 -j ACCEPT
>> >> >>>>
>> >> >>>>
>> >> >>>> iptables -A INPUT -p TCP --dport 2000:6000 -j ACCEPT
>> >> >>>>
>> >> >>>> Mi pregunta es, porque tengo que agregar la ultima linea para
>> que
>> >> me
>> >> >>>> deje
>> >> >>>> enviar?? Recojer me deja tanto por el puerto 110 pop3 como por
>> el
>> >> 143
>> >> >>>> imap
>> >> >>>> ya que esta establecido pero a la hora de enviar si no pongo
>> esta
>> >> >>>> linea:
>> >> >>>>
>> >> >>>> iptables -A INPUT -p TCP --dport 2000:6000 -j ACCEPT
>> >> >>>>
>> >> >>>> No puedo enviar. Alguien sabe porque puede ser?? Cuando intento
>> >> >>>> enviarme
>> >> >>>> un correo a mí mismo supuestamente me conecto al servidor desde
>> un
>> >> >>>> puerto
>> >> >>>> aleatorio suele ser entre 2000 y 6000(cliente) y me conecto a el
>> >> >>>> puerto
>> >> >>>> 25
>> >> >>>> smtp(servidor) para enviar correo, y supuestamente él tambien me
>> >> >>>> tendría
>> >> >>>> que contestar desde el puerto 25. Qué puede estar pasando?? Creo
>> >> que
>> >> >>>> son
>> >> >>>> unas reglas básicas pero nosé porque coño no funciona.
>> >> >>>>
>> >> >>>> _______________________________________________
>> >> >>>> CentOS-es mailing list
>> >> >>>> CentOS-es en centos.org
>> >> >>>> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >>>>
>> >> >>>
>> >> >>> --
>> >> >>> Enviado desde mi dispositivo móvil
>> >> >>>
>> >> >>> Saludos ...
>> >> >>>
>> >> >>> Christian.-
>> >> >>> _______________________________________________
>> >> >>> CentOS-es mailing list
>> >> >>> CentOS-es en centos.org
>> >> >>> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >>>
>> >> >>
>> >> >>
>> >> >> _______________________________________________
>> >> >> CentOS-es mailing list
>> >> >> CentOS-es en centos.org
>> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >>
>> >> >
>> >> > --
>> >> > Enviado desde mi dispositivo móvil
>> >> >
>> >> > Saludos ...
>> >> >
>> >> > Christian.-
>> >> > _______________________________________________
>> >> > CentOS-es mailing list
>> >> > CentOS-es en centos.org
>> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >
>> >>
>> >>
>> >> _______________________________________________
>> >> CentOS-es mailing list
>> >> CentOS-es en centos.org
>> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >>
>> >
>> >
>> >
>> > --
>> > Rodrigo Julio Pérez
>> > Ingeniero en Gestión Informática
>> >
>> > "Todo el desorden del mundo proviene de las profesiones mal o
>> > mediocremente
>> > servidas" Gabriela Mistral
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>>
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>
> _________________________________________________________________
> News, entertainment and everything you care about at Live.com. Get it now!
> http://www.live.com/getstarted.aspx_______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es