Firestarter, Ubuntu 8.04 i odbiór lokalnej poczty

[ctomczyk]

Witam.

Zainstalowałem Firestartera na ubuntu 8.04 i skonfigurowałem go używając dokumentacji oficjalnej. Niemniej jednak z jedną rzeczą nie mogę sobie poradzić, tzn. teraz mogę odebrać pocztę elektroniczną będą poza siecią lokalną, a w sieci lokalnej nie mogę odebrać poczty elektronicznej. Czy coś pominąłem w konfiguracji Firestartera? Czy może "coś przeszkadza" innego, niż Firestarter?

--
CT

[Noea]

do odbioru pop 3 sluzy chyba port 110 - sprawdz czy ten masz odblokowany w firestarter

[marek_skwarek]

a jest jakiś komunikat przy próbie odebrania poczty? Warto go zacytować.

[ctomczyk]

do odbioru pop 3 sluzy chyba port 110 - sprawdz czy ten masz odblokowany w firestarter

Jest odblokowany, bo inaczej z zewnątrz nie mógłbym odbierać poczty. Odbieram pocztę przez port 995 (SSL).

--
CT

EDIT:

a jest jakiś komunikat przy próbie odebrania poczty? Warto go zacytować.

Klikam na odbierz pocztę. Czekam, czekam... i po kilkunastu sekundach jest komunikat o tym, że program pocztowy nie może połączyć się z serwerem mail.domena.pl. Tak, jakby była ustawiona reguła, która blokuje odbiór poczty na porcie 995 wewnątrz sieci lokalnej.

--
CT

[marek_skwarek]

rozumiem, że

Kod: Zaznacz cały

ping mail.domena.pl

działa. A co się dzieje po wydaniu poleceń

Kod: Zaznacz cały

host -t MX mail.domena.pl
host -t NS mail.domena.pl

Może masz coś nie tak z konfiguracją DNS, a nie zapory.

[ctomczyk]

rozumiem, że

Kod: Zaznacz cały

ping mail.domena.pl

działa. A co się dzieje po wydaniu poleceń

Kod: Zaznacz cały

host -t MX mail.domena.pl
host -t NS mail.domena.pl

Może masz coś nie tak z konfiguracją DNS, a nie zapory.

Po sprawdzeniu wpisów w resolv.conf (cat /etc/resolv.conf) okazało się, że mam:

nameserver 127.0.0.1
nameserver
nameserver

Widocznie Firestarter coś zmienił mi w konfiguracji DNS-ów. Z reguły wpisywałem dwa znane numery TP SA (194...), ale na znalazłem jeszcze inne ustawienia, które wyglądają tak:

nameserver 212.85.112.32
nameserver 13.25.47.167
nameserver 53.19.0.50
nameserver 194.204.159.1
nameserver 194.204.152.34
nameserver 212.191.132.126
nameserver 212.51.192.2
nameserver 193.151.48.18

Pochodzą one z http://www.mandrivalinux.eu/showthread.php?p=180522, ale nie nie jestem pewien, czy to aby na pewno polepszy działanie internetu :/ Wątek jest z 2006 roku.

Polecenie ping zablokowałem, o ile pamiętam. Konfiguracja Firestartera wygląda tak:

#-----------( Firestarter Configuration File )-----------#

# --(External Interface)--
# Name of external network interface
IF="eth1"
# Network interface is a PPP link
EXT_PPP="off"

# --(Internal Interface--)
# Name of internal network interface
INIF="eth0"

# --(Network Address Translation)--
# Enable NAT
NAT="on"
# Enable DHCP server for NAT clients
DHCP_SERVER="off"
# Forward server's DNS settings to clients in DHCP lease
DHCP_DYNAMIC_DNS="on"

# --(Inbound Traffic)--
# Packet rejection method
# DROP: Ignore the packet
# REJECT: Send back an error packet in response
STOP_TARGET="DROP"

# --(Outbound Traffic)--
# Default Outbound Traffic Policy
# permissive: everything not denied is allowed
# restrictive everything not allowed is denied
OUTBOUND_POLICY="permissive"

# --(Type of Service)--
# Enable ToS filtering
FILTER_TOS="on"
# Apply ToS to typical client tasks such as SSH and HTTP
TOS_CLIENT="on"
# Apply ToS to typical server tasks such as SSH, HTTP, HTTPS and POP3
TOS_SERVER="off"
# Apply ToS to Remote X server connections
TOS_X="off"
# ToS parameters
# 4: Maximize Reliability
# 8: Maximize-Throughput
# 16: Minimize-Delay
TOSOPT=8

# --(ICMP Filtering)--
# Enable ICMP filtering
FILTER_ICMP="on"
# Allow Echo requests
ICMP_ECHO_REQUEST="off"
# Allow Echo replies
ICMP_ECHO_REPLY="off"
# Allow Traceroute requests
ICMP_TRACEROUTE="off"
# Allow MS Traceroute Requests
ICMP_MSTRACEROUTE="off"
# Allow Unreachable Requests
ICMP_UNREACHABLE="off"
# Allow Timestamping Requests
ICMP_TIMESTAMPING="off"
# Allow Address Masking Requests
ICMP_MASKING="off"
# Allow Redirection Requests
ICMP_REDIRECTION="off"
# Allow Source Quench Requests
ICMP_SOURCE_QUENCHES="off"

# --(Broadcast Traffic)--
# Block external broadcast traffic
BLOCK_EXTERNAL_BROADCAST="on"
# Block internal broadcast traffic
BLOCK_INTERNAL_BROADCAST="off"

# --(Traffic Validation)--
# Block non-routable traffic on the public interfaces
BLOCK_NON_ROUTABLES="off"

# --(Logging)--
# System log level
LOG_LEVEL=info

--
CT

[marek_skwarek]

A jak to w ogóle jest, bo nie do końca rozumiem. Serwer poczty masz poza siecią lokalną? i Jak jesteś poza siecią to możesz pobrać pocztę, a jak jesteś w sieci lok. to nie możesz? Rozumiem taż, że FS jest na tym komputerze (laptopie) na którym odbierasz pocztę w sieci i poza nią. Jeśli tak to faktycznie jest, to przyczyn problemu szukaj nie na swoim kompie tylko na routerze. Może blokuje coś ?

[ctomczyk]

A jak to w ogóle jest, bo nie do końca rozumiem. Serwer poczty masz poza siecią lokalną? i Jak jesteś poza siecią to możesz pobrać pocztę, a jak jesteś w sieci lok. to nie możesz? Rozumiem taż, że FS jest na tym komputerze (laptopie) na którym odbierasz pocztę w sieci i poza nią. Jeśli tak to faktycznie jest, to przyczyn problemu szukaj nie na swoim kompie tylko na routerze. Może blokuje coś ?

Wygląda to tak:

Internet->Serwer->Sieć lokalna. Na serwerze zainstalowany jest Ubuntu 8.04 + m.in. Firestarter. Na laptopie mam zwykły Windows XP Home. Kiedy jestem poza siecią lokalną, np. łączę się przez GSM, to pocztę odbieram i wysyłam bez problemu. Kiedy jestem w sieci lokalnej podłączony, to nie mogę ani odebrać, ani wysłać poczty, bo czytnik poczty (Thunderbird) nie może połączyć się z serwerem. Po prostu nie mam pomysłu, gdzie szukać przyczyny tego stanu rzeczy. Na razie poprawiłem wpisy DNS w resolv.conf, bo było tylko 127.0.0.1.

--
CT

EDIT:

A jak to w ogóle jest, bo nie do końca rozumiem. Serwer poczty masz poza siecią lokalną? i Jak jesteś poza siecią to możesz pobrać pocztę, a jak jesteś w sieci lok. to nie możesz? Rozumiem taż, że FS jest na tym komputerze (laptopie) na którym odbierasz pocztę w sieci i poza nią. Jeśli tak to faktycznie jest, to przyczyn problemu szukaj nie na swoim kompie tylko na routerze. Może blokuje coś ?

A, i na wydanie poleceń:

host -t MX mail.domena.pl
host -t NS mail.domena.pl

mam odpowiedź, że mail.domena.pl "has no XX record". Sęk w tym, że domena.pl jest trzymana na serwerze u hostingodawcy zewnętrznego i zarazem u niego jest przekierowanie rekordu MX na konkretną domenę (mail.domena.pl) i IP tej domeny.

--
CT

[marek_skwarek]

a poczta, którą chcesz pobrać jest na tym serwerze na styku sieci lokalnej i internetu?
Co z pingowaniem serwera po IP i po nazwie? (odblokuj na chwilę ICMP)

[ctomczyk]

a poczta, którą chcesz pobrać jest na tym serwerze na styku sieci lokalnej i internetu?

Tak.

Co z pingowaniem serwera po IP i po nazwie? (odblokuj na chwilę ICMP)

Odblokowałem. Pingi działają, ale odbiór poczty w sieci lokalnej jeszcze nie :/

--
CT

EDIT:

a poczta, którą chcesz pobrać jest na tym serwerze na styku sieci lokalnej i internetu?
Co z pingowaniem serwera po IP i po nazwie? (odblokuj na chwilę ICMP)

Jeśli chodzi o komunikat błędu, to jest to "Przekroczono limit czasu połączenia z serwerem mail.domena.pl". Domyślam się, że może to być coś w ustawieniach Firestarter-a, ale nie mam pewności.

--
CT

EDIT:

a poczta, którą chcesz pobrać jest na tym serwerze na styku sieci lokalnej i internetu?
Co z pingowaniem serwera po IP i po nazwie? (odblokuj na chwilę ICMP)

Czegoś chyba nie rozumiem w działaniu Firestartera. W zakładce Policy mam sekcję "Inbound traffic policy". Byłem przekonany, że dotyczy to reguł dla ruchu przychodzącego z internetu. Tymczasem dodałem do powyższego menu obsługę samby, tzn. odblokowałem ją i zaczęła lokalnie działać (a nie działała). OK. To w takim razie mam przecież odblokowane wszystkie porty odpowiedzialne za pocztę, ale lokalnie i tak nie mogę jej odebrać :/

--
CT

[marek_skwarek]

a spróbuj wyłączyć firestartera całkiem, może to wcale nie jego wina.

[ctomczyk]

a spróbuj wyłączyć firestartera całkiem, może to wcale nie jego wina.

Spróbuję. Aczkolwiek to dziwne, bo przed instalacją Firestartera działało wszystko normalnie, czyli mogłem odebrać i wysłać pocztę zarówno będą w lokalnej sieci, jak i poza nią.

--
CT

[marek_skwarek]

# System log level
LOG_LEVEL=info

masz jakiś log firestartera - tam powinny być próby połączeń i przyczyna odrzucenia pakietu. Są inne tryby logowania?

# Apply ToS to typical server tasks such as SSH, HTTP, HTTPS and POP3
TOS_SERVER="off"

Może tu przełącz na "on" (nie wiem co to, ale jakoś tak pasuje)

[ctomczyk]

masz jakiś log firestartera - tam powinny być próby połączeń i przyczyna odrzucenia pakietu. Są inne tryby logowania?

Nie mogę znaleźć logów :/ Hm... nie jestem pewien, czy się w ogóle generują. Argh...

Może tu przełącz na "on" (nie wiem co to, ale jakoś tak pasuje)

Nawet jak jest to na "on", to nic nie daje :/

--
CT

[marek_skwarek]

jeśli nie ma osobnych logów, to może się zapisują do /var/log/syslog?
A co się stało po wyłączeniu firestartera - zaczęło działać?

Masz u siebie coś takiego? http://www.fs-security.com/docs/events-page.php

EDIT:
i jeszcze ze strony FS:

All client hosts are allowed to establish new connections to the Internet, but not to the firewall host.

Inbound Connections originating from the Internet or the local network with the firewall host as the destination.
Outbound Connections from the firewall host and the local network to the Internet

Czyli musisz mieć jawnie odblokowany port 995 w inboud policy

EDIT 2:
A co masz na tej karcie?
http://www.fs-security.com/docs/policy-page.php

Może się mylę, ale problem może być związany z tym, jak Firestarter podchodzi do maszyny, na której jest postawiony. Czy traktuje ją jako host zewnętrzny czy wewnętrzny.