Mám dotaz na Linuxákov. Na serveri v istej firme majú Linux/Debian. Priateľovi som na PC pridal v Outlook Exprese nové poštové konto. Keď je pripojený pred serverom, pošta ide, ale po propojení za server nie. Z Linuxu poznám iba úplné základy, treba tam niečo upravovať (napr. acl safe_port... v squid.conf)?
Aky mate rozsah IP v sieti, aku IP ma ten kamos, hod sem config squida.
Outlook Express jsem v životě neviděl, ale předpokládám, že se bude chovat jako normální IMAP/POP poštovní klient.
Moc nechápu, proč spojuješ s poštou Squid, ten je tam podle mně úplně zbytečný. Taky přesně nevím, co podle tebe znamená před a za serverem. Znamená to, že ten Linuxový server je zároveň mail server a firewall a před serverem znamená zevnitř firmy a za serverem znamená zvenčí? Pokud je to tak, tak ti stačí udělat zhruba toto:
1. Vygenerovat si certifikát (pro zabezpečení přístupu zvenčí, tedy IMAPS/POPS)
2. Nastavit IMAP/POP server tak, aby akceptoval i zabezpečené spojení
3. Totéž pro mail server - předpokládám, že bude třeba poštu i posílat
4. Ve firewallu otevřít odpovídající porty pro SMTP, a některý z IMAPS nebo POPS
Pokud je jiná topologie sítě, případně pokud jsem špatně pochopil před a za, budeš muset dodat bližší informace.
Moc nechápu, proč spojuješ s poštou Squid, ten je tam podle mně úplně zbytečný. Taky přesně nevím, co podle tebe znamená před a za serverem. Znamená to, že ten Linuxový server je zároveň mail server a firewall a před serverem znamená zevnitř firmy a za serverem znamená zvenčí? Pokud je to tak, tak ti stačí udělat zhruba toto:
1. Vygenerovat si certifikát (pro zabezpečení přístupu zvenčí, tedy IMAPS/POPS)
2. Nastavit IMAP/POP server tak, aby akceptoval i zabezpečené spojení
3. Totéž pro mail server - předpokládám, že bude třeba poštu i posílat
4. Ve firewallu otevřít odpovídající porty pro SMTP, a některý z IMAPS nebo POPS
Pokud je jiná topologie sítě, případně pokud jsem špatně pochopil před a za, budeš muset dodat bližší informace.
Server (vstup) je z modem/routra (4x RJ45), na výstupe servra cez switch lokálna sieť. Pred serverom - PC priamo na router, teda na Internet, za serverom - lokálna sieť. Maily cez POP3. Okrem blokácie niektorých www stranok server slúži hlavne ako "firemný" poštový server (dedičstvo z minulosti, keď temer nik nemal nejaký voľný mail).
Dnes ho má temer každý, ale ak mám doma mail napr. [email]stano@seznam.cz[/email], na PC v práci si pridám v Outlooku konto stano, po pripojeni PC priamo pred server dostávam maily (stano@seznam.cz) aj v práci, po pripojení na lokálnu sieť (za server) to nechodí. Predpokladám že to súvisí s portami 25 a 110 (Outlook express) a tie by sa mali povoliť.
Squid.conf - tam som pridal 2 riadky
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop3
ale aj tak to nefunguje.
Dnes ho má temer každý, ale ak mám doma mail napr. [email]stano@seznam.cz[/email], na PC v práci si pridám v Outlooku konto stano, po pripojeni PC priamo pred server dostávam maily (stano@seznam.cz) aj v práci, po pripojení na lokálnu sieť (za server) to nechodí. Predpokladám že to súvisí s portami 25 a 110 (Outlook express) a tie by sa mali povoliť.
Squid.conf - tam som pridal 2 riadky
acl Safe_ports port 25 # smtp
acl Safe_ports port 110 # pop3
ale aj tak to nefunguje.
Stále jsem nepochopil, k čemu se snažíš nastavit Squid. To je webová (HTTP,FTP) proxy, neni to firewall a nenahrazuje jeho spravne nastaveni.
Potřebuješ nastavit firewall (tzn. iptables) nastavit tak, aby pouštěl to, co chceš. Zjevně je (ve směru zevnitř ven) zakázáno forwardování uvedených portů (25/110), případně je zakázáno vše a web jede přes squid.
Jestli to chápu dobře, jde ti o to, aby ses dostal ne na ten linuxovy mail server, ale na mailový server v internetu. V tomto případě jde jen a pouze o povolení forwardování provozu na porty 25 a 110 směrem do internetu. A to je opravdu otázka firewallu a ne squidu.
Nenapíšu ti přímo, jak nastavit firewall, protože je na to hromada skriptů a řešení a způsobů, jak to nastavit, musel bys napsat, co se na tom serveru používá.
Potřebuješ nastavit firewall (tzn. iptables) nastavit tak, aby pouštěl to, co chceš. Zjevně je (ve směru zevnitř ven) zakázáno forwardování uvedených portů (25/110), případně je zakázáno vše a web jede přes squid.
Jestli to chápu dobře, jde ti o to, aby ses dostal ne na ten linuxovy mail server, ale na mailový server v internetu. V tomto případě jde jen a pouze o povolení forwardování provozu na porty 25 a 110 směrem do internetu. A to je opravdu otázka firewallu a ne squidu.
Nenapíšu ti přímo, jak nastavit firewall, protože je na to hromada skriptů a řešení a způsobů, jak to nastavit, musel bys napsat, co se na tom serveru používá.
Aso máš pravdu, toto je prvý riadok iptables:
ACCEPT tcp--anywhere anywhere multiport dports 2323,domain,www,auth,https
ešte v chain FORWARD je:
ACCEPT tcp--10.1.0.0/16 anywhere multiport dports ssh,domain,5190
ACCEPT tcp--anywhere anywhere multiport dports 2323,domain,www,auth,https
ešte v chain FORWARD je:
ACCEPT tcp--10.1.0.0/16 anywhere multiport dports ssh,domain,5190
Chain INPUT (policy DROP)
target prot opt. source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 53,1194
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 2323,53,80,113,443
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 10.1.0.0/16 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt. source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 10.1.0.0/16 0.0.0.0/0 multiport dports 22,53,5190
ACCEPT udp -- 10.1.0.0/16 0.0.0.0/0 multiport dports 53
ACCEPT icmp -- 10.1.0.0/16 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.1.0.0/16
DROP all -- 10.1.0.0/16 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt. source destination
target prot opt. source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 53,1194
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 2323,53,80,113,443
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 10.1.0.0/16 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt. source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 10.1.0.0/16 0.0.0.0/0 multiport dports 22,53,5190
ACCEPT udp -- 10.1.0.0/16 0.0.0.0/0 multiport dports 53
ACCEPT icmp -- 10.1.0.0/16 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.1.0.0/16
DROP all -- 10.1.0.0/16 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt. source destination
P.S. príkaz iptables -l -n
Tento zapis cloveku moc neda. Zkus spustit "iptables -nvL" a pak poslat vysledek. Jeste k tomu pak bude vhodne dodat informace, ktera sitovka je ktera (napr. vypis "ifconfig"). A ty vypisy vloz prosim jako kod (formatovaci tlacitko se znakem #).
Myslim, ze by ti melo stacit pridat do firewallu 2 pravidla temito prikazy:
[code]iptables -I FORWARD -i vnitrni_sitovka -o vnejsi_sitovka -p tcp --dport 25 -j ACCEPT
iptables -I FORWARD -i vnitrni_sitovka -o vnejsi_sitovka -p tcp --dport 110 -j ACCEPT[/code]
Samozrejme musis napsat spravne jmena sitovek. Vnejsi je ta smerem k modemu, vnitrni ta smerem do firemni site
Myslim, ze by ti melo stacit pridat do firewallu 2 pravidla temito prikazy:
[code]iptables -I FORWARD -i vnitrni_sitovka -o vnejsi_sitovka -p tcp --dport 25 -j ACCEPT
iptables -I FORWARD -i vnitrni_sitovka -o vnejsi_sitovka -p tcp --dport 110 -j ACCEPT[/code]
Samozrejme musis napsat spravne jmena sitovek. Vnejsi je ta smerem k modemu, vnitrni ta smerem do firemni site