Top過去ログ目次掲示板

作成日:2006年05月23日 作成:おやじ
掲示板で過去に質問された内容です。

No.5986 サーバにiptablesでフィルタリングを行うとメールの送受信が出来なくなる


No.5986 投稿時間:2006年05月23日(Tue) 15:47 投稿者名:田中健二 URL:
タイトル:サーバにiptablesでフィルタリングを行うとメールの送受信が出来なくなる

現在自宅サーバを構築中です。
1台のPCでDNS・VNC・WEB・ファイルサーバと
ファイアーウォール(iptablesを使用)を兼ねています。

普通の状態ですとメールの送受信はできるのですが、
iptablesでサーバにフィルタリングをすると、
メールのみ送受信できません。

クライアントPCのOUTLOOKEXPRESSの所で
認証に失敗している可能性もあるのかなと
個人的には考えますがどうしたらよいのか分かりません。

<入力したiptablesコマンド>
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
/sbin/iptables -A INPUT-p tcp --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 5901 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 5902 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 5902 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/24 --dport 137:138 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 137:138 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP

(他のsamba・DNS・VNC・FTP・WEBサーバは普通に使えます)
宜しくお願い致します。


No.5987 投稿時間:2006年05月23日(Tue) 15:55 投稿者名:田中健二 URL:
タイトル:Re: サーバにiptablesでフィルタリングを行うとメールの送受信が出来なくなる

> 現在自宅サーバを構築中です。
> 1台のPCでDNS・VNC・WEB・ファイルサーバと
> ファイアーウォール(iptablesを使用)を兼ねています。
>
> 普通の状態ですとメールの送受信はできるのですが、
> iptablesでサーバにフィルタリングをすると、
> メールのみ送受信できません。
>
> クライアントPCのOUTLOOKEXPRESSの所で
> 認証に失敗している可能性もあるのかなと
> 個人的には考えますがどうしたらよいのか分かりません。
>
> <入力したiptablesコマンド>
> /sbin/iptables -A INPUT -i lo -j ACCEPT
> /sbin/iptables -A OUTPUT -o lo -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT-p tcp --dport 22 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
> /sbin/iptables -A INPUT -p udp --dport 25 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp --sport 25 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
> /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 5901 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 5902 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 5902 -j ACCEPT
> /sbin/iptables -A INPUT -s 192.168.0.0/24 --dport 137:138 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 137:138 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 139 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
> /sbin/iptables -P INPUT DROP
> /sbin/iptables -P OUTPUT DROP
>
> (他のsamba・DNS・VNC・FTP・WEBサーバは普通に使えます)
> 宜しくお願い致します。

すみません。
使用しているサーバを書き忘れました
SMTPがsendmailでPOPがdovecotです。
宜しくお願い致します。


No.5991 投稿時間:2006年05月23日(Tue) 21:26 投稿者名:おやじ URL:
タイトル:デストリ付属のGUIツールで設定したらどうですか?

> 現在自宅サーバを構築中です。
> 1台のPCでDNS・VNC・WEB・ファイルサーバと
> ファイアーウォール(iptablesを使用)を兼ねています。
>
> 普通の状態ですとメールの送受信はできるのですが、
> iptablesでサーバにフィルタリングをすると、
> メールのみ送受信できません。
>
> クライアントPCのOUTLOOKEXPRESSの所で
> 認証に失敗している可能性もあるのかなと
> 個人的には考えますがどうしたらよいのか分かりません。

これは、本末転倒ですよね。動いていることが前提でフィルタするのでは?
下記は、3wayハンドシェークも考慮されていないですし、udpの25?等かなり??
なので、デストリ付属のGUIツールで設定したらどうですか?
ルータ配下にいるなら、止めてしまっても良いと思いますよ。逆に、この設定で直結とかDMZに置いているのは危険すぎます。

下記をパクレばほぼ目的を達成できるのでは?
VNCも用意に類推できると思います。

http://www.aconus.com/~oyaji/security/iptables.htm

> <入力したiptablesコマンド>
> /sbin/iptables -A INPUT -i lo -j ACCEPT
> /sbin/iptables -A OUTPUT -o lo -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
> /sbin/iptables -A INPUT-p tcp --dport 22 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
> /sbin/iptables -A INPUT -p udp --dport 25 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp --sport 25 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
> /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 5901 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 5902 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 5902 -j ACCEPT
> /sbin/iptables -A INPUT -s 192.168.0.0/24 --dport 137:138 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 137:138 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 139 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
> /sbin/iptables -P INPUT DROP
> /sbin/iptables -P OUTPUT DROP


No.5993 投稿時間:2006年05月23日(Tue) 23:15 投稿者名:田中健二 URL:
タイトル:Re: デストリ付属のGUIツールで設定したらどうですか?

> > 現在自宅サーバを構築中です。
> > 1台のPCでDNS・VNC・WEB・ファイルサーバと
> > ファイアーウォール(iptablesを使用)を兼ねています。
> >
> > 普通の状態ですとメールの送受信はできるのですが、
> > iptablesでサーバにフィルタリングをすると、
> > メールのみ送受信できません。
> >
> > クライアントPCのOUTLOOKEXPRESSの所で
> > 認証に失敗している可能性もあるのかなと
> > 個人的には考えますがどうしたらよいのか分かりません。
>
> これは、本末転倒ですよね。動いていることが前提でフィルタするのでは?
> 下記は、3wayハンドシェークも考慮されていないですし、udpの25?等かなり??
> なので、デストリ付属のGUIツールで設定したらどうですか?
> ルータ配下にいるなら、止めてしまっても良いと思いますよ。逆に、この設定で直結とかDMZに置いているのは危険すぎます。
>
> 下記をパクレばほぼ目的を達成できるのでは?
> VNCも用意に類推できると思います。
>
> http://www.aconus.com/~oyaji/security/iptables.htm
>
> > <入力したiptablesコマンド>
> > /sbin/iptables -A INPUT -i lo -j ACCEPT
> > /sbin/iptables -A OUTPUT -o lo -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
> > /sbin/iptables -A INPUT-p tcp --dport 22 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
> > /sbin/iptables -A INPUT -p udp --dport 25 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p udp --sport 25 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
> > /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 5901 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 5901 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 5902 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 5902 -j ACCEPT
> > /sbin/iptables -A INPUT -s 192.168.0.0/24 --dport 137:138 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 137:138 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 139 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> > /sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
> > /sbin/iptables -P INPUT DROP
> > /sbin/iptables -P OUTPUT DROP

ありがとうございます
やってみます



掲示板▲頁先頭