｜Top｜過去ログ目次｜掲示板｜

作成日：2006年05月23日　作成：おやじ

掲示板で過去に質問された内容です。

---

No.5986　サーバにiptablesでフィルタリングを行うとメールの送受信が出来なくなる

• サーバにiptablesでフィルタリングを行うとメールの送受信が出来なくなる - 田中健二 06/05/23-15:47 No.5986
  • Re: サーバにiptablesでフィルタリングを行うとメールの送受信が出来なくなる - 田中健二 06/05/23-15:55 No.5987
  • デストリ付属のGUIツールで設定したらどうですか？ - おやじ 06/05/23-21:26 No.5991
    • Re: デストリ付属のGUIツールで設定したらどうですか？ - 田中健二 06/05/23-23:15 No.5993

---

No.5986　投稿時間：2006年05月23日(Tue) 15:47　投稿者名：田中健二　ＵＲＬ：
タイトル：サーバにiptablesでフィルタリングを行うとメールの送受信が出来なくなる

現在自宅サーバを構築中です。
1台のPCでDNS・VNC・WEB・ファイルサーバと
ファイアーウォール(iptablesを使用)を兼ねています。

普通の状態ですとメールの送受信はできるのですが、
iptablesでサーバにフィルタリングをすると、
メールのみ送受信できません。

クライアントPCのOUTLOOKEXPRESSの所で
認証に失敗している可能性もあるのかなと
個人的には考えますがどうしたらよいのか分かりません。

<入力したiptablesコマンド>
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
/sbin/iptables -A INPUT-p tcp --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 5901 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5902 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 5902 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/24 --dport 137:138 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 137:138 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP

(他のsamba・DNS・VNC・FTP・WEBサーバは普通に使えます)
宜しくお願い致します。

---

No.5987　投稿時間：2006年05月23日(Tue) 15:55　投稿者名：田中健二　ＵＲＬ：
タイトル：Re: サーバにiptablesでフィルタリングを行うとメールの送受信が出来なくなる

> 現在自宅サーバを構築中です。
> 1台のPCでDNS・VNC・WEB・ファイルサーバと
> ファイアーウォール(iptablesを使用)を兼ねています。
>
> 普通の状態ですとメールの送受信はできるのですが、
> iptablesでサーバにフィルタリングをすると、
> メールのみ送受信できません。
>
> クライアントPCのOUTLOOKEXPRESSの所で
> 認証に失敗している可能性もあるのかなと
> 個人的には考えますがどうしたらよいのか分かりません。
>
> <入力したiptablesコマンド>
> /sbin/iptables -A INPUT -i lo -j ACCEPT
> /sbin/iptables -A OUTPUT -o lo -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT-p tcp --dport 22 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
> /sbin/iptables -A INPUT -p udp --dport 25 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp --sport 25 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
> /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 5901 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 5902 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 5902 -j ACCEPT
> /sbin/iptables -A INPUT -s 192.168.0.0/24 --dport 137:138 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 137:138 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 139 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
> /sbin/iptables -P INPUT DROP
> /sbin/iptables -P OUTPUT DROP
>
> (他のsamba・DNS・VNC・FTP・WEBサーバは普通に使えます)
> 宜しくお願い致します。

すみません。
使用しているサーバを書き忘れました
SMTPがsendmailでPOPがdovecotです。
宜しくお願い致します。

---

No.5991　投稿時間：2006年05月23日(Tue) 21:26　投稿者名：おやじ　ＵＲＬ：
タイトル：デストリ付属のGUIツールで設定したらどうですか？

> 現在自宅サーバを構築中です。
> 1台のPCでDNS・VNC・WEB・ファイルサーバと
> ファイアーウォール(iptablesを使用)を兼ねています。
>
> 普通の状態ですとメールの送受信はできるのですが、
> iptablesでサーバにフィルタリングをすると、
> メールのみ送受信できません。
>
> クライアントPCのOUTLOOKEXPRESSの所で
> 認証に失敗している可能性もあるのかなと
> 個人的には考えますがどうしたらよいのか分かりません。

これは、本末転倒ですよね。動いていることが前提でフィルタするのでは？
下記は、3wayハンドシェークも考慮されていないですし、udpの25？等かなり？？
なので、デストリ付属のGUIツールで設定したらどうですか？
ルータ配下にいるなら、止めてしまっても良いと思いますよ。逆に、この設定で直結とかDMZに置いているのは危険すぎます。

下記をパクレばほぼ目的を達成できるのでは？
VNCも用意に類推できると思います。

http://www.aconus.com/~oyaji/security/iptables.htm

> <入力したiptablesコマンド>
> /sbin/iptables -A INPUT -i lo -j ACCEPT
> /sbin/iptables -A OUTPUT -o lo -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT-p tcp --dport 22 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
> /sbin/iptables -A INPUT -p udp --dport 25 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp --sport 25 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
> /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 5901 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 5902 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 5902 -j ACCEPT
> /sbin/iptables -A INPUT -s 192.168.0.0/24 --dport 137:138 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 137:138 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 139 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
> /sbin/iptables -P INPUT DROP
> /sbin/iptables -P OUTPUT DROP

---

No.5993　投稿時間：2006年05月23日(Tue) 23:15　投稿者名：田中健二　ＵＲＬ：
タイトル：Re: デストリ付属のGUIツールで設定したらどうですか？

> > 現在自宅サーバを構築中です。
> > 1台のPCでDNS・VNC・WEB・ファイルサーバと
> > ファイアーウォール(iptablesを使用)を兼ねています。
> >
> > 普通の状態ですとメールの送受信はできるのですが、
> > iptablesでサーバにフィルタリングをすると、
> > メールのみ送受信できません。
> >
> > クライアントPCのOUTLOOKEXPRESSの所で
> > 認証に失敗している可能性もあるのかなと
> > 個人的には考えますがどうしたらよいのか分かりません。
>
> これは、本末転倒ですよね。動いていることが前提でフィルタするのでは？
> 下記は、3wayハンドシェークも考慮されていないですし、udpの25？等かなり？？
> なので、デストリ付属のGUIツールで設定したらどうですか？
> ルータ配下にいるなら、止めてしまっても良いと思いますよ。逆に、この設定で直結とかDMZに置いているのは危険すぎます。
>
> 下記をパクレばほぼ目的を達成できるのでは？
> VNCも用意に類推できると思います。
>
> http://www.aconus.com/~oyaji/security/iptables.htm
>
> > <入力したiptablesコマンド>
> > /sbin/iptables -A INPUT -i lo -j ACCEPT
> > /sbin/iptables -A OUTPUT -o lo -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
> > /sbin/iptables -A INPUT-p tcp --dport 22 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
> > /sbin/iptables -A INPUT -p udp --dport 25 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p udp --sport 25 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
> > /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 5901 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 5902 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 5902 -j ACCEPT
> > /sbin/iptables -A INPUT -s 192.168.0.0/24 --dport 137:138 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 137:138 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 139 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
> > /sbin/iptables -P INPUT DROP
> > /sbin/iptables -P OUTPUT DROP

ありがとうございます
やってみます

---

｜掲示板｜▲頁先頭｜

---