Hola colegas,
Lázaro gracias por tu ayuda, hice un mejunje con tu script y el que yo
estaba usando antes y los correos ahora me llegan y están saliendo, no
para todas las direcciones por ejemplo
para el dominio practica.combell.com.cu cuando ejecuto
nslookup practica.combell.com.cu me da error de:
server 200.55.128.3
Cant' Find practica.combell.com.cu: No answer
si le solicito como me digiste:
nslookup -type=MX practica.combell.com.cu
me responde
practica.combell.com.cu mail exchanger =0 mailerucc.combell.com.cu.
Authoritative answers can be found from:
combell.com.cu nameserver = ns.ceniai.net.cu.
mailerucc.combell.com.cu internet address = 181.225.235.90
Todo esto desde el server de correo.
Según mi pobre parecer no esta bien configurado algo del DNS.
Aquí envió el script para que lo revises y me digas si ves algo mal.
y si a alguien le sirve entonces ok.
#! /bin/bash
echo -ne " Aplicando Reglas de Firewall... \n"
# definicion de variables
#IPTABLES="/sbin/iptables"
#if [!-x ${IPTABLES} ]; THEN
# EXIT 0
#fi
## (LIMPIAR REGLAS) FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# Establecemos politica por defecto
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#PERMITIR CONEXIONES LOCALHOST
iptables -t filter -A INPUT -i lo -j ACCEPT
# PERMITIR PIN DE LA LAN
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
#Aceptamos ir al Firewall desde Red local
iptables -A INPUT -s 192.168.100.12 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.100.13 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.100.15 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.100.18 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.100.19 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.100.21 -p tcp --dport 22 -j ACCEPT
#los paquetes que salgan por eth0 provenientes del server seran traducidos
iptables -t nat -A POSTROUTING -s 192.168.100.13 -p tcp --dport 25 -o
eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.100.13 -p tcp --dport 465 -o
eth0 -j MASQUERADE
#los que van al servidor de correo se traducen
iptables -t nat -A PREROUTING -p tcp -d 183.200.10.25 --dport 25 -j DNAT
--to-destination 192.168.100.13:25
iptables -t nat -A PREROUTING -p tcp -d 183.200.10.25 --dport 465 -j
DNAT --to-destination 192.168.100.13:465
#permitimos que se haga forward hacia smtp y stmp por SSL
iptables -A FORWARD -d 192.168.100.13 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -d 192.168.100.13 -p tcp --dport 465 -j ACCEPT
#importante lo que se establecio pasa
iptables -A FORWARD -d 192.168.100.13 -m conntrack --ctstate
RELATED,ESTABLISHED -j ACCEPT
#lo que viene del server de correo sale
iptables -A FORWARD -p tcp -s 192.168.100.13 -j ACCEPT
# aceptamos que consulten el DNS
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
# permitir sincronizacion WAN
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT
#permitir descarga segura desde el 12 y 13
iptables -A INPUT -s 192.168.100.12 -i eth1 -p tcp --dport 443 -m state
--state NEW -j ACCEPT
iptables -A INPUT -s 192.168.100.13 -i eth1 -p tcp --dport 443 -m state
--state NEW -j ACCEPT
#clientes vayan al correo del servidor
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 465 -j ACCEPT
# ENMASCARAMIENTO DE LA lan
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
#permitir el proxy desde puerto 80 y 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3128 -j REDIRECT
--to-port 8080
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 8080
#PERMITIR WWW PARA LA lan
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 80 -m state
--state NEW -j ACCEPT
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 8080 -m
state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 443 -m
state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p udp --dport 80 -m state
--state NEW -j ACCEPT
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p udp --dport 8080 -m
state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p udp --dport 443 -m
state --state NEW -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
#Permitir otros puertos configurados en Squid
# escritorio remoto
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 5900 -m
state --state NEW -j ACCEPT
# rsync
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 873 -m
state --state NEW -j ACCEPT
#gopher
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 70 -m state
--state NEW -j ACCEPT
#wais
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 210 -m
state --state NEW -j ACCEPT
#http-mgmt
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 280 -m
state --state NEW -j ACCEPT
# gss-http
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 488 -m
state --state NEW -j ACCEPT
# filemaker
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 591 -m
state --state NEW -j ACCEPT
# multiling http
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 777 -m
state --state NEW -j ACCEPT
# cups
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 631 -m
state --state NEW -j ACCEPT
# cups
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --dport 901 -m
state --state NEW -j ACCEPT
#permitir FTP pasivo y activo
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp --sport 20:21 -j ACCEPT
iptables -A OUTPUT -d 192.168.100.0/24 -o eth1 -p tcp --dport 20:21 -j
ACCEPT
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p udp --sport 20:21 -j ACCEPT
iptables -A OUTPUT -d 192.168.100.0/24 -o eth1 -p udp --dport 20:21 -j
ACCEPT
# para FTP pasivo incluir en /etc/modules "ip_conntrack_ftp"
echo 1 > /proc/sys/net/ipv4/ip_forward
# log de los paquetes de entradas negados
iptables -A INPUT -j LOG --log-level debug --log-prefix "DROP INPUT: <-"
iptables -A OUTPUT -j LOG --log-level debug --log-prefix "DROP OUTPUT: ->"
iptables -A FORWARD -j LOG --log-level debug --log-prefix "FORWARD DROP:
<->"
#cerrando puertos de la lan de la wan
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 1:1024 -j DROP
echo -ne " \n"
echo -ne "TERMINADO ... \n"
echo -ne " \n"
--
Saludos
--
0ooo
ooo0 ( )
( ) ) /
\ ( (_/
\_)
ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø
Joel Ventura Castillo
J' Grupo Informática
Empresa Importadora - Exportadora ILECO
Dir.: O' Reilly No. 152 e/ San Ignacio y Mercaderes,
Habana Vieja, Cuba.
E-Mail: j...@ecoimpex.com.cu
Teléf.: 8625081 al 84, Ext. 156
ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø
El 22/09/2014 12:39 p.m., låzaro escribió:
párate en el servidor de correo y ejecuta
nslookup -type=MX enet.cu
Es probable que tu server de correo no tenga acceso al DNS o que tu
server DNS no tenga los forwarder debidamente configurado...
Eso en el tutorial lo asumo como que la persona sabe tratarlo pero lo
cierto es que es una laguna. Ahora mismo estoy muy ocupado, pero
escribeme al privado haber como resolvemos e incluímos eso en el
tutorial.
No hace mucho recomendé permitir forward a los DNS del proveedor y
ponerlos en la lista de resolv.conf del servidor de correo.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
