Re: Aiuto su iptables con fetchmail..

["wannabe.mail" <wannabe.mail@libero.it>]

>
>
> > Il giorno sab, 10/03/2007 alle 19.56 +0100, wannabe.mail ha scritto:
> > > [...]
> > > Dal log di iptraf vedo che si collega al pop3 del provider mail.libero.it e tenta di scaricare, ma qualcosa fallisce.
> >
> > posta il log di iptables /var/log/syslog (o dove l'hai ridirezionato)
>
>
> Mar 11 11:56:42 localhost fetchmail[3288]: timeout after 20 seconds waiting to connect to server libero.it.
> Mar 11 11:56:42 localhost fetchmail[3288]: socket error while fetching from wannabe.mail@libero.it
> Mar 11 11:56:42 localhost fetchmail[3288]: Query status=2 (SOCKET)
>
>
> >
> > > Io in iptables ho scritto queste regole per tentare di risolvere
> > > il problema, ma non funziona.
> > >
> > > iptables -A INPUT  -i eth0 -p udp --sport 33080 -m state --state RELATED,ESTABLISHED -j ACCEPT
> > > iptables -A OUTPUT -o eth0 -p udp --dport 33080 -j ACCEPT
> > >
> > > iptables -A INPUT  -i eth0 -p tcp --sport 110 -m state --state RELATED,ESTABLISHED -j ACCEPT
> > > iptables -A OUTPUT -o eth0 -p tcp --dport 110 -j ACCEPT
> > >
> > > Qualche suggerimento?
> >
> > secondo me queste regole non ti servono a nulla
>
> Perchè dici?
>
> Ecco le regole che utilizzo:
>
> #!/bin/bash
> #
> ######           FLUSHING CHAIN                 ##################################################
> ###### Flush, svuota le catene predefinite
> iptables -F
> iptables -t nat -F
> iptables -t mangle -F
> ###### CANCELLO LE CATENE
> iptables -X
> ###### Azzera i contatori sulle catene
> iptables -Z
> #####        END FLUSHING CHAIN                 ##################################################
> ##### MODULI VARI DA CHIARIRE #####
> modprobe ip_tables
> modprobe ip_conntrack
> modprobe iptable_filter
> modprobe iptable_nat
> modprobe ipt_MASQUERADE
> modprobe iptable_nat
> modprobe ip_nat_ftp
> ##### FINE MODULI
>
> ##### SETTING IPFORWARDING - Abilita il forwarding x il NAT #####
> echo 1 > /proc/sys/net/ipv4/ip_forward
> ##### END SETTING IPFORWARDING #####
> #####        DEFAULT CHAIN                      ##################################################
>
> # Imposto le policy per i pacchetti in ingresso bloccando il traffico
> iptables -P INPUT DROP
> # Imposto le policy per i pacchetti in transito tra le due interfacce bloccando il traffico
> iptables -P FORWARD DROP
> # Imposto la policy per i pacchetti in uscita bloccando il traffico
> iptables -P OUTPUT DROP
> # Imposto la policy per postrouting e prerouting bloccanto il traffico
> ##iptables -t nat -P POSTROUTING DROP
> ##iptables -t nat -P PREROUTING DROP
> #####        END DEFAULT CHAIN                 ##################################################
> ########     REGOLE PERSONALIZZATE              ##################################################
> # REGOLE LOCALHOST - RIESCO A INVIARE E LEGGERE LE MAIL DA TB IMPOSTATO NEL PC CHE PRELEVA VIA IMAP
> # LA POSTA DAL SERVER
> iptables -t filter -A INPUT -i lo -j ACCEPT
> iptables -t filter -A OUTPUT -o lo -j ACCEPT
> ##### ABILITO / DISAB IL PING DAL FIREWALL
> iptables -t filter -A INPUT -p icmp -j ACCEPT
> iptables -t filter -A OUTPUT -p icmp -j ACCEPT
> ######   ABILITO / DISAB IL DNS DA ETH0 - DNS
> iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT -m state --state ESTABLISHED
> ######  ABILITO / DISAB PORTA 80 SU SERVER LINUX - WEB
> iptables -A INPUT  -i eth0 -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
> ######  ABILITO / DISAB PORTA 443 SU SERVER LINUX - HTTPS
> iptables -A INPUT  -i eth0 -p tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT
> ######  ABILITO / DISAB PORTA 25 SU SERVER ETH0 - SMTP
> # MI PERMETTE DI INVIARE LE MAIL ALL'ESTERNO
> iptables -A INPUT  -i eth0 -p tcp --sport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT
>
> ######  ABILITO / DISAB PORTA 110 - POP3 SU SERVER DEBIAN -
> # MI PERMETTE SI SCARICARE CON FETCHMAIL LE MAIL DA LIBERO.IT E DA REGISTER USANDO POP3
>
> iptables -A INPUT  -i eth0 -p udp --sport 32889 -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o eth0 -p udp --dport 32889 -j ACCEPT
> iptables -A INPUT  -i eth0 -p tcp --sport 110 -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --dport 110 -j ACCEPT
>
> #####        END REGOLE PERSONALIZZATE         ##################################################
>
> > e posta anche le regole di iptables
> Son certo che dipende tutto dalle regole iptables perchè se imposto
> come file iptables uno meno restrittivo (Vedi sotto) il tutto funziona.
>
> #!/bin/bash
> ######           FLUSHING CHAIN                 ##################################################
> ###### Flush, svuota le catene predefinite
> iptables -F
> iptables -t nat -F
> iptables -t mangle -F
> ###### CANCELLO LE CATENE
> iptables -X
> ###### Azzera i contatori sulle catene
> iptables -Z
> #####        END FLUSHING CHAIN                 ##################################################
> ##### MODULI VARI DA CHIARIRE #####
> modprobe ip_tables
> modprobe ip_conntrack
> modprobe iptable_filter
> modprobe iptable_nat
> modprobe ipt_MASQUERADE
> modprobe iptable_nat
> modprobe ip_nat_ftp
> ##### FINE MODULI
> ##### SETTING IPFORWARDING - Abilita il forwarding x il NAT #####
> echo 1 > /proc/sys/net/ipv4/ip_forward
> ##### END SETTING IPFORWARDING #####
> #####        DEFAULT CHAIN                      ##################################################
> # Imposto le policy per i pacchetti in ingresso bloccando il traffico
> iptables -P INPUT DROP
> # Imposto le policy per i pacchetti in transito tra le due interfacce bloccando il traffico
> iptables -P FORWARD DROP
> # Imposto la policy per i pacchetti in uscita bloccando il traffico
> iptables -P OUTPUT ACCEPT
> # Imposto la policy per postrouting e prerouting bloccanto il traffico
> iptables -t nat -P POSTROUTING ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> #####        END DEFAULT CHAIN                 ##################################################
> iptables -N block
> iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A block -m state --state NEW -i ! eth0 -j ACCEPT
> iptables -A block -j DROP
> iptables -A INPUT -j block
> iptables -A FORWARD -j block
>
> iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -d 0/0 -j MASQUERADE
>
>
> ciao
>
>
> ------------------------------------------------------
> Leggi GRATIS le tue mail con il telefonino i-mode? di Wind
> http://i-mode.wind.it
>
Ho fatto ulteriori controlli con iptraf e sono arrivato alla
conclusione di dover aggiungere come regola iptables anche la seguente:

iptables -A INPUT  -i lo -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o lo -p udp -j ACCEPT

oltre alle già citate:

iptables -A INPUT  -i eth0 -p udp --sport 32812 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 32812 -j ACCEPT

iptables -A INPUT  -i eth0 -p tcp --sport 110 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 110 -j ACCEPT

quello che non capisco è perchè ho dovuto aggiungere le due regole
sopra (udp su lo) quando nei mio file iptables all'inizio trovo:

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

Non è una regola che "comprende già" queste due?
iptables -A INPUT  -i lo -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o lo -p udp -j ACCEPT

In fin dei conti qui viene solo aggiunto il protocollo udp e quindi
è più restrittiva!!
bo!!


------------------------------------------------------
Leggi GRATIS le tue mail con il telefonino i-mode? di Wind
http://i-mode.wind.it