Архив форумов ЦИТФорума

[Boris Korenev]

Какие правила нужно добавить в ipfw,
чтоб почта проходила через маршрутизатор FreeBSD?

Вот какие правила стоят сейчас:

00100 78 4648 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from 192.168.1.0/24 to any in recv rl0
00500 14 2141 deny ip from 213.165.192.208/29 to any in recv xl0
00600 deny ip from any to 10.0.0.0/8 via rl0
00700 deny ip from any to 172.16.0.0/12 via rl0
00800 deny ip from any to 192.168.0.0/16 via rl0
00900 deny ip from any to 0.0.0.0/8 via rl0
01000 deny ip from any to 169.254.0.0/16 via rl0
01100 deny ip from any to 192.0.2.0/24 via rl0
01200 deny ip from any to 224.0.0.0/4 via rl0
01300 deny ip from any to 240.0.0.0/4 via rl0
01400 39 4739 divert 8668 ip from any to any via rl0
01500 deny ip from 10.0.0.0/8 to any via rl0
01600 deny ip from 172.16.0.0/12 to any via rl0
01700 deny ip from 192.168.0.0/16 to any via rl0
01800 deny ip from 0.0.0.0/8 to any via rl0
01900 deny ip from 169.254.0.0/16 to any via rl0
02000 deny ip from 192.0.2.0/24 to any via rl0
02100 deny ip from 224.0.0.0/4 to any via rl0
02200 deny ip from 240.0.0.0/4 to any via rl0
02300 40 5752 allow tcp from any to any established
02400 allow ip from any to any frag
02500 allow tcp from any to 213.165.192.211 25 setup
02600 allow tcp from any to 213.165.192.211 53 setup
02700 allow udp from any to 213.165.192.211 53
02800 allow udp from 213.165.192.211 53 to any
02900 allow tcp from any to 213.165.192.211 80 setup
03000 deny log logamount 100 tcp from any to any in recv rl0 setup
03100 4 192 allow tcp from any to any setup
03200 14 1533 allow udp from 213.165.192.211 to any 53 keep-state
03300 allow udp from 213.165.192.211 to any 123 keep-state
65535 293 21830 deny ip from any to any

Ставил что то вроде такого:

add pass tcp from any to any 25
add pass tcp from any 25 to any
add pass udp from any to any 25
add pass udp from any 25 to any

add pass tcp from any to any 110
add pass tcp from any 110 to any
add pass udp from any to any 110
add pass udp from any 110 to any

Ни чего не помогло

Заранее спасибо. Борис.

[Dmitry.Karpov http://prof]

-

[Boris Korenev]

> Поставь на FreeBSD SendMail с реллем, открытым для внутренней сетИ,

А как открыть для внутренней сети? Можно по-подробней?

> и нефига мимо него что-то слать (а то спамеры заведуться). (-)

Заранее спасибо. Борис.

[Dmitry.Karpov http://prof]

Рассказываю для FreeBSD'4.x. Есть два способа - через access и через relay-domains (оба файла живут в /etc/mail). Я делал через relay-domains:
- Создал прямую и реверсную зоны (для внутренних IP-номеров надо использовать самоприсвоенный домен), прописал там все машины так, чтобы это каждое имя соотвествовало своему IP-адресу и в прямой, и в реверсной зоне. Делать это надо на DNS-сервере, который указан первым в /etc/resolv.conf на машине, где работает SendMail.
- Указал этот домен в файле relay-domains и построил по нему двоичную базу данных:
makemap hash /etc/mail/relay-domains >/etc/mail/relay-domains

[Dmitry.Karpov http://prof]

Можно дождаться момента, когда никто не будет работать, и оттестировать работу существующего набора правил. Дело в том, что каждое правило содержит счетчик попавших на его условия пакетов (есть даже спец.опция count, которая ничего не делает, только считает; RTFM), и по тому, какие правила дают прибавку, можно понять, кто из них "зарубил" SMTP-обращения наружу.

Еще можно включить логгинг и смотреть, куда деваются пакеты.

А дело, скорее всего, в том, что правила, разрешающие SMTP, находятся слишком поздно - кто-то успевает запретить их раньше...