[opensuse-es] Caso extraño con Nat y proxy
Saludos lista , tengo un caso peculiar y raro os comento , tengo un servidor proxy y firewall con OpenSuSE 11.2 ademas es servidor de correo , pero tengo algunos clientes que usan cuentas de correos remotos con otros servidores y resulta que cuando intentan enviar no pueden contactar con el servidor falla , pero no es error de DNS si no de puertos , tengo enmascarada la red LAN y hace Nat , pero no logro que salgan esos correos solo reciben ... si los contactos por telnet tanto al 110 y 25 desde los clientes en los que tengo estos problemas se conectan se que tiene que ver algo con el firewall , pero tengo bien enmascarada la red ya que hago de proxy transparente .. MASQUERADE all -- 192.168.1.0/24 0.0.0.0/0 se me escapara algo? saludooss -- rickygm http://gnuforever.homelinux.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Viernes 30 Abril 2010, troxlinux escribió:
Saludos lista , tengo un caso peculiar y raro os comento , tengo un servidor proxy y firewall con OpenSuSE 11.2 ademas es servidor de correo , pero tengo algunos clientes que usan cuentas de correos remotos con otros servidores y resulta que cuando intentan enviar no pueden contactar con el servidor falla , pero no es error de DNS si no de puertos , tengo enmascarada la red LAN y hace Nat , pero no logro que salgan esos correos solo reciben ...
si los contactos por telnet tanto al 110 y 25 desde los clientes en los que tengo estos problemas se conectan
se que tiene que ver algo con el firewall , pero tengo bien enmascarada la red ya que hago de proxy transparente ..
MASQUERADE all -- 192.168.1.0/24 0.0.0.0/0
se me escapara algo?
saludooss
* Pues seguramente estas proxificando las conexiones cuyo destino sea todos los puertos y el proxy no tiene soporte para esos protocolos de correo si es squid basicamente soporta http/s , ftp y poco mas, si quieres proxificar smtp, imap, etc , tendras que utilizar , delegate , perdition, etc ....
El Thu, 29 Apr 2010 21:22:56 -0600, troxlinux escribió:
Saludos lista , tengo un caso peculiar y raro os comento , tengo un servidor proxy y firewall con OpenSuSE 11.2 ademas es servidor de correo , pero tengo algunos clientes que usan cuentas de correos remotos con otros servidores y resulta que cuando intentan enviar no pueden contactar con el servidor falla , pero no es error de DNS si no de puertos , tengo enmascarada la red LAN y hace Nat , pero no logro que salgan esos correos solo reciben ...
si los contactos por telnet tanto al 110 y 25 desde los clientes en los que tengo estos problemas se conectan
Pregunta retórica: ¿Y qué diferencia existe entre hacer un telnet al puerto 25 (→ funciona) y que el cliente de correo intente la conexión a través del puerto 25 (→ no funciona)? Revisa el registro del cortafuegos para ver si alguna regla de iptables la que te está denegando esa conexión y por qué. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 30 de abril de 2010 06:04, Camaleón
Pregunta retórica: ¿Y qué diferencia existe entre hacer un telnet al puerto 25 (→ funciona) y que el cliente de correo intente la conexión a través del puerto 25 (→ no funciona)?
eso es lo extraño es igual hacer un telnet al 25 que enviar correos por un cliente , pero si envio desde la cuenta no puedo enviar el outlok me dice sin entregar , he nateado la ip de la pc cliente sin pasar por el proxy y no me jala ahora si pongo un enlace de la empresa que me provee esa cuenta y me pego a un router linksys envio sin problemas ...
Revisa el registro del cortafuegos para ver si alguna regla de iptables la que te está denegando esa conexión y por qué.
mira aqui estoy tratando de conectarme desde una pc con ip 1.50 al servidor de correo externo con ip 165.98.148.3 Apr 29 18:36:11 lentesnic kernel: SFW2-INint-ACC-TCP IN=eth0 OUT= MAC=00:19:66:d4:68:f0:00:19:66:92:3a:20:08:00 SRC=192.168.1.50 DST=192.168.1.254 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=57554 DF PROTO=TCP SPT=4259 DPT=3128 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) MARK=0x1 Apr 29 18:36:35 lentesnic kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth1 SRC=192.168.1.50 DST=165.98.148.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=57710 DF PROTO=TCP SPT=4267 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) Apr 29 18:36:35 lentesnic kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth1 SRC=192.168.1.50 DST=165.98.148.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=57711 DF PROTO=TCP SPT=4267 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) Apr 30 10:31:28 lentesnic kernel: SFW2-INext-DROP-DEFLT-INV IN=eth1 OUT= MAC=00:21:91:7a:3e:cb:00:02:85:0d:ca:c0:08:00 SRC=96.24.102.38 DST=165.98.97.38 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=17372 DF PROTO=TCP SPT=36388 DPT=55098 WINDOW=0 RES=0x00 ACK RST URGP=0 Apr 30 10:31:30 lentesnic kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:21:91:7a:3e:cb:00:02:85:0d:ca:c0:08:00 SRC=216.73.215.44 DST=165.98.97.38 LEN=181 TOS=0x00 PREC=0x00 TTL=109 ID=21178 PROTO=UDP SPT=62183 DPT=7318 LEN=161 Apr 30 10:31:31 lentesnic kernel: SFW2-INint-ACC-TCP IN=eth0 OUT= MAC=00:19:66:d4:68:f0:00:19:66:92:3a:20:08:00 SRC=192.168.1.50 DST=165.98.97.38 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=44558 DF PROTO=TCP SPT=2045 DPT=110 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) Apr 30 10:31:33 lentesnic kernel: SFW2-INint-ACC-TCP IN=eth0 OUT= MAC=00:19:66:d4:68:f0:00:80:c9:00:3b:be:08:00 SRC=192.168.1.231 DST=165.98.97.38 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=64709 DF PROTO=TCP SPT=52524 DPT=110 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B4010303000101080A2EF9855C0000000004020000) es raro pero no veo denegacion aqui ..., o sera que no veiooo .. espero sus comentarios lista .. -- rickygm http://gnuforever.homelinux.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 30 de abril de 2010 10:38, troxlinux
buenoal final lo he logrado , auntenticando la cuenta de correo a traves de mi servidor de correo .... son petass extranas de los ISP , pero funciono... saludoss -- rickygm http://gnuforever.homelinux.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Fri, 30 Apr 2010 10:38:54 -0600, troxlinux escribió:
El día 30 de abril de 2010 06:04, Camaleón escribió:
Pregunta retórica: ¿Y qué diferencia existe entre hacer un telnet al puerto 25 (→ funciona) y que el cliente de correo intente la conexión a través del puerto 25 (→ no funciona)?
eso es lo extraño es igual hacer un telnet al 25 que enviar correos por un cliente , pero si envio desde la cuenta no puedo enviar el outlok me dice sin entregar , he nateado la ip de la pc cliente sin pasar por el proxy y no me jala
ahora si pongo un enlace de la empresa que me provee esa cuenta y me pego a un router linksys envio sin problemas ...
Hum...
Revisa el registro del cortafuegos para ver si alguna regla de iptables la que te está denegando esa conexión y por qué.
mira aqui estoy tratando de conectarme desde una pc con ip 1.50 al servidor de correo externo con ip 165.98.148.3
A ver qué sacamos...
Apr 29 18:36:11 lentesnic kernel: SFW2-INint-ACC-TCP IN=eth0 OUT= MAC=00:19:66:d4:68:f0:00:19:66:92:3a:20:08:00 SRC=192.168.1.50 DST=192.168.1.254 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=57554 DF PROTO=TCP SPT=4259 DPT=3128 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) MARK=0x1
Aquí recibe el paquete del cliente.
Apr 29 18:36:35 lentesnic kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth1 SRC=192.168.1.50 DST=165.98.148.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=57710 DF PROTO=TCP SPT=4267 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Aquí, al pasarlo de eth0 → eth1 ¿lo rechaza (drop-deflt)? :-?
Apr 29 18:36:35 lentesnic kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth1 SRC=192.168.1.50 DST=165.98.148.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=57711 DF PROTO=TCP SPT=4267 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Aquí lo mismo (drop-deflt)...
Apr 30 10:31:28 lentesnic kernel: SFW2-INext-DROP-DEFLT-INV IN=eth1 OUT= MAC=00:21:91:7a:3e:cb:00:02:85:0d:ca:c0:08:00 SRC=96.24.102.38 DST=165.98.97.38 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=17372 DF PROTO=TCP SPT=36388 DPT=55098 WINDOW=0 RES=0x00 ACK RST URGP=0
Aquí ya me he perdido O:-) Parece un paquete rechazado (drop-deflt-inv) desde eth1 (con origen en una ip externa) hacia el servidor de coreo remoto. ¿Qué diferencia hay entre un registro "drop-deflt" y otro "drop-deflt- inv"?
Apr 30 10:31:30 lentesnic kernel: SFW2-INext-DROP-DEFLT IN=eth1 OUT= MAC=00:21:91:7a:3e:cb:00:02:85:0d:ca:c0:08:00 SRC=216.73.215.44 DST=165.98.97.38 LEN=181 TOS=0x00 PREC=0x00 TTL=109 ID=21178 PROTO=UDP SPT=62183 DPT=7318 LEN=161
Otro paquete rechazado (drop-deflt-inv) desde eth1 (con origen en una ip externa) hacia el servidor de coreo remoto. Protocolo UDP (¿resolución del servidor dns?)
Apr 30 10:31:31 lentesnic kernel: SFW2-INint-ACC-TCP IN=eth0 OUT= MAC=00:19:66:d4:68:f0:00:19:66:92:3a:20:08:00 SRC=192.168.1.50 DST=165.98.97.38 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=44558 DF PROTO=TCP SPT=2045 DPT=110 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Paquete aceptado con origen en eth0 y destino al servidor remoto.
Apr 30 10:31:33 lentesnic kernel: SFW2-INint-ACC-TCP IN=eth0 OUT= MAC=00:19:66:d4:68:f0:00:80:c9:00:3b:be:08:00 SRC=192.168.1.231 DST=165.98.97.38 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=64709 DF PROTO=TCP SPT=52524 DPT=110 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B4010303000101080A2EF9855C0000000004020000)
Paquete aceptado con origen en eth0 y destino al servidor remoto.
es raro pero no veo denegacion aqui ..., o sera que no veiooo ..
Parece que tiene problemas con el enrutado de paquetes de la interfaz eth1 >:-?
espero sus comentarios lista ..
Espera que algún gurú del "Dpto. de Redes y Rutas" te diga algo :-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-04-30 20:35, Camaleón wrote:
El Fri, 30 Apr 2010 10:38:54 -0600, troxlinux escribió:
Apr 30 10:31:28 lentesnic kernel: SFW2-INext-DROP-DEFLT-INV IN=eth1 OUT= MAC=00:21:91:7a:3e:cb:00:02:85:0d:ca:c0:08:00 SRC=96.24.102.38 DST=165.98.97.38 LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=17372 DF PROTO=TCP SPT=36388 DPT=55098 WINDOW=0 RES=0x00 ACK RST URGP=0
Aquí ya me he perdido O:-)
Parece un paquete rechazado (drop-deflt-inv) desde eth1 (con origen en una ip externa) hacia el servidor de coreo remoto.
Rechazado no, eliminado.
¿Qué diferencia hay entre un registro "drop-deflt" y otro "drop-deflt- inv"?
http://linux.derkeiler.com/Mailing-Lists/SuSE/2005-12/msg00326.html “It means that some invalid packets received on the external device were dropped by the firewall, and that is the default behaviour for invalid packets on that device.” - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkvbN2EACgkQU92UU+smfQV7RACfQYsbhya0auTbmg9YQtLESbva ZWoAnAi1xi3G3XHRPRCn5O9NBj++zBqq =btwb -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 30 de abril de 2010 14:02, Carlos E. R.
Aquí ya me he perdido O:-)
Parece un paquete rechazado (drop-deflt-inv) desde eth1 (con origen en una ip externa) hacia el servidor de coreo remoto.
Rechazado no, eliminado.
¿Qué diferencia hay entre un registro "drop-deflt" y otro "drop-deflt- inv"?
http://linux.derkeiler.com/Mailing-Lists/SuSE/2005-12/msg00326.html
“It means that some invalid packets received on the external device were dropped by the firewall, and that is the default behaviour for invalid packets on that device.”
voy a hacer honesto hay cosas que hace el SuSefirewall2 que no las entiendo ... saludoss -- rickygm http://gnuforever.homelinux.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-04-30 22:06, troxlinux wrote:
El día 30 de abril de 2010 14:02, Carlos E. R. <> escribió:
voy a hacer honesto hay cosas que hace el SuSefirewall2 que no las entiendo ...
¿Y quien no? :-) Echa un vistazo a este documento - está anticuado, del 2002, pero es información válida: http://sourceforge.net/projects/susefaq/files/SuSEfirewall2/0.9/firewall2-a4... Está traducido casi completo, pero los términos de la licencia no permiten su publicación. Fué un proyecto fallido. Así que tendrás que leerlo en inglés. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkvbPbkACgkQU92UU+smfQWFPACgkvlHq4aLVOP7b+4ioz6TJZ5S 7SwAnAwYKCkqcgRvS4VMbDKr+nU5hD5E =LdJr -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Viernes 30 Abril 2010, Camaleón escribió:
El Fri, 30 Apr 2010 10:38:54 -0600, troxlinux escribió:
El día 30 de abril de 2010 06:04, Camaleón escribió:
Pregunta retórica: ¿Y qué diferencia existe entre hacer un telnet al puerto 25 (→ funciona) y que el cliente de correo intente la conexión a través del puerto 25 (→ no funciona)?
so es lo extraño es igual hacer un telnet al 25 que enviar correos por un cliente , pero si envio desde la cuenta no puedo enviar el outlok me dice sin entregar , he nateado la ip de la pc cliente sin pasar por el proxy y no me jala
* Por que seguro que no estas haciendo lo mismo, no desde el mismo lugar, protocolos. * Que el 25 esta escuchando funciona (si hay alguna aplicacion escuchando) y en el segundo caso no esta redirigido a otro destino no funciona, no puede ademas estar escuchando datos y haciendo forward y tampoco es lo mismo hacer un forward local que a una ip publica, no las dos cosas a la vez por lo menos hasta que ip tables sea capaz de adivinar el pensamiento del usuario.
eso es lo extraño es igual hacer un telnet al 25 que enviar correos por un cliente , pero si envio desde la cuenta no puedo enviar el outlok me dice sin entregar , he nateado la ip de la pc cliente sin pasar por el proxy y no me jala
ahora si pongo un enlace de la empresa que me provee esa cuenta y me pego a un router linksys envio sin problemas ...
Hum...
* Pueden ser muchas cosas, el servidor solo acepta conexiones desde ip/dominios definidos tipicamente las de tu proveedor, routing mal o enmascaramiento, reglas contrarias, etc .........
Revisa el registro del cortafuegos para ver si alguna regla de iptables la que te está denegando esa conexión y por qué.
mira aqui estoy tratando de conectarme desde una pc con ip 1.50 al servidor de correo externo con ip 165.98.148.3
A ver qué sacamos...
Apr 29 18:36:11 lentesnic kernel: SFW2-INint-ACC-TCP IN=eth0 OUT= MAC=00:19:66:d4:68:f0:00:19:66:92:3a:20:08:00 SRC=192.168.1.50 DST=192.168.1.254 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=57554 DF PROTO=TCP SPT=4259 DPT=3128 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) MARK=0x1
Aquí recibe el paquete del cliente.
* Esto es proxificado a menos que que el 3128 el puerto por defecto de squid este haciendo uotras funciones, tipica regla en FW_FORWARD o simplemente que no tenga nada que ver con el asunto ser trafico tcp corriente y moliente.
Apr 29 18:36:35 lentesnic kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=eth1 SRC=192.168.1.50 DST=165.98.148.3 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=57710 DF PROTO=TCP SPT=4267 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Aquí, al pasarlo de eth0 → eth1 ¿lo rechaza (drop-deflt)? :-?
* No se esta enmascarando ese trafico o el routing no esta activado. * En resumen o pone el esquema real de su red incluidas las condiciones en las que esta su router y lo que quiere hacer y desde donde o todo seran palos de ciego.
El Lunes 03 Mayo 2010, jose maria escribió:
Apr 29 18:36:11 lentesnic kernel: SFW2-INint-ACC-TCP IN=eth0 OUT= MAC=00:19:66:d4:68:f0:00:19:66:92:3a:20:08:00 SRC=192.168.1.50 DST=192.168.1.254 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=57554 DF PROTO=TCP SPT=4259 DPT=3128 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) MARK=0x1
Aquí recibe el paquete del cliente.
* Esto es proxificado a menos que que el 3128 el puerto por defecto de squid este haciendo uotras funciones, tipica regla en FW_FORWARD o simplemente que no tenga nada que ver con el asunto ser trafico tcp corriente y moliente.
* Perdon en FW_REDIRECT .
participants (5)
-
Camaleón
-
Carlos E. R.
-
jose maria
-
Lluis
-
troxlinux