SUSE Linux 9.3 SuseFirewall eMail bzw.Port-Problem

Hallo,

ich bin neu hier und hab von Linux so gut wie keine Ahnung, aber seit ein paar Tagen das Problem, das kein eMail-Versand/Empfang und kein HBCI-Banking mehr möglich ist.

Email-Versand/Empfang über David von Tobit (läuft auf WIN2000-Server) nicht möglich, mit folgender Meldung vom David-Port
1) Connecting to server 212.227.15.129 on port 25
(00000652) Connect to 212.227.15.129 Timed Out

Ins Internet komme ich von allen Clients problemlos.

Ich gehe davon aus, das das Problem bei meinem Linux-Server SUSE9.3 mit Susefirewall2 liegt, über den ich ins Internet per DSL gehe.

Es hat ein ehemaliger Kollege versucht, VPN auf dem Linux-Server einzurichten (den Kollegen kann ich aber nicht mehr erreichen).
Vielleicht habe ich auch versehentlich etwas "verstellt" in YAST oder WEBMIN... Oder kann es etwas "zerschossen" haben?

Bitte helft mir, ich weiss nicht mehr wo ich suchen soll. Vielen Dank.

MfG susenewcomer
 

framp

Moderator
Teammitglied
Goldene Regel: Vor groesseren Aenderungen am System einen Backup ziehen oder genau festhalten was man geaendert hat ;-)
Ist allerdings schwer wenn ein Kollege einem freundlicherweise anbietet zu helfen :roll:

Soe wie es aussiehst kan der 1und1 SMTP Server nicht mehr erreicht werden. Ich tippe mal darauf, dass was am Firewall verstellt wurde.

Allerdings ist mir nicht klar wer wie verbunden ist:

Ist Tobit der eMail Client (Outlook) der an David (WIN2KServer) eMails schickt die der wieder ueber einen SuSE 9.3 Server zu 1und schickt?

Test mal ob telnet 212.227.15.129 25 bei Tobit - bei David und/oder am SuSE 9.3 Server geht.
 

Martin Breidenbach

Ultimate Guru
susenewcomer schrieb:
...mit folgender Meldung vom David-Port
1) Connecting to server 212.227.15.129 on port 25
(00000652) Connect to 212.227.15.129 Timed Out

Das läßt vermuten daß da kein mail relay auf der Firewall läuft sondern Port 25 eigentlich durchgelassen werden sollte.

Kannst Du mal den Inhalt der SuSEFirewall2 posten (bitte ohne die ganzen Kommentare... das wird sonst so lang) ?
 
OP
S

susenewcomer

Newbie
Hallo Framp,
danke für die schnelle Antwort.
David von Tobit ist ein Email+Fax-Server-Programm, das auf meinem Win2000-Server läuft, und bis letzte Woche über den Linux-PC (als Router+Firewall gedacht) den Email-Verkehr erledigte.

Telnet auf am Linux-Server:
trying telnet 212.227.15.129...
Connected to telnet 212.227.15.129.
220 telnet 212.227.15.129 (mrelayeu0) Welcome to Nemesis ESMTP server

Telnet am Client oder Win2000-Server:
Es konnte keine Verbindung hergestellt werden mit dem Host auf port 25

Die susefirewall (mit gelöschten Kommentaren) sieht so aus

W_DEV_EXT="dsl0 eth-id-00:0a:e6:e7:fb:79"
FW_DEV_INT="eth-id-00:50:da:0e:1d:30 ppp1"
FW_DEV_DMZ="eth-id-00:50:04:ee:87:7b"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV=""
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="10000 1723 20000 80 https ssh"
FW_SERVICES_EXT_UDP="177 ipsec-nat-t isakmp"
FW_SERVICES_EXT_IP="GRE esp"
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="80 domain microsoft-ds netbios-dgm netbios-ns netbios-ssn smtp"
FW_SERVICES_INT_UDP="domain netbios-ns tftp"
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT="0/0,tcp,445 0/0,udp,4662"
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS="10.102.198.64/27"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_FORWARD="10.102.198.64/27,10.102.198.0/27"
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="yes"
FW_ALLOW_PING_EXT="yes"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT=""
FW_ALLOW_FW_BROADCAST_INT="ipp"
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="yes"
FW_ALLOW_CLASS_ROUTING=""
FW_CUSTOMRULES=""
FW_REJECT=""
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="int"
FW_ZONES=""

Was kann ich Dir noch für Infos geben?
 

Martin Breidenbach

Ultimate Guru
Hmm... wenn ich nichts übersehe dann sollte der ausgehenden Traffic nach Port 25 durchlassen.

Wenn Du über DSL (ohne feste IP Adresse) ins Internet gehst dann müßte der eMail-Versand über einen Smarthost beim Provider gehen. Sonst bleibst Du in den meisten Spam-Filtern hängen.

Wer ist denn die 212.227.15.129 ? Die IP-Adresse gehört Schlund+Partner. Ist das der Smarthost ?

Ich sehe daß Du offenbar eine DMZ hast. Ist da irgendwas drin was hier 'mitspielt' ?

Der David steht intern oder in DMZ ?

susenewcomer schrieb:

Hmm... probier mal

Code:
FW_MASQ_DEV="$FW_DEV_EXT"

Surfen die Clients über einen Proxy ?

... und sag dem Kollegen wenn er das nächste Mal was ändert soll er VORHER ne Kopie machen...
 
OP
S

susenewcomer

Newbie
Ins Internet gehe ich ohne feste IP per DSL

Die IP ist smtp.1und1.com

"Ich sehe daß Du offenbar eine DMZ hast. Ist da irgendwas drin was hier 'mitspielt' ?" >> was brauchts Du hier für Infos??

Der David bzw Win2000Server steht intern

in der DMZ hängt ein ISDN-Router
 

Martin Breidenbach

Ultimate Guru
Möglicherweise haben sich da Nachrichten zeitlich überschnitten. Hast Du die anderen gesehen ? Ich versuche gerade zu verstehen wieso Windows Clients surfen können aber kein SMTP durchkommt.

Benutzen die Clients einen Proxy ?

Und prüf man das andere was ich da noch gepostet habe (FW_MASQ_DEV="$FW_DEV_EXT" ).
 

framp

Moderator
Teammitglied
Der Tip von Breidy sieht gut aus.

Das Problem bei der SuSE FW ist immer wieder herauszufinden, wie man die FW dazu bringt bestimmte iptables Rules zu generieren, denn die SuSE FW ist nur eine Metabeschreibung von iptables.

Code:
iptables -I FORWARD -i eth0 -o dsl0 -p tcp --sport 25 -j ACCEPT und
iptables -I FORWARD -o eth0 -i dsl0 -p tcp --dport 25 -j ACCEPT

oder aehnliches sollte in iptables -L -vn auftauchen wenn die SuSE FW Rules richtig gesetzt sind.
 
OP
S

susenewcomer

Newbie
war nicht schnell genug..

FW_MASQ_DEV="$FW_DEV_EXT" hab ich gemacht, und bekomme jetzt eine neue Meldung von DAVID:
10.102.198.2 (das ist die IP-Adresse des DAVID bzw Win2000Server) Service not available

Die Clients müssen jetzt den Proxy im I.E. einstellen, sonst geht Internet nicht. Vorher gings aber ohne Proxy (hatte ich ganz vergessen)
 

framp

Moderator
Teammitglied
susenewcomer schrieb:
Die Clients müssen jetzt den Proxy im I.E. einstellen, sonst geht Internet nicht. Vorher gings aber ohne Proxy (hatte ich ganz vergessen)
Du hast also einen Proxy. Das wusste keiner. Eigentlich sollten die Clients aus Sicherheitsgruenden immer ueber den Proxy gehen. D.h. sie sind vorher immer direkt (per forwarding) ins Netz gegangen.

Ich wurde die Clients so lassen.(ueber Proxy) und nur den W2K Server direkt ins Netz lassen. Die Frage ist nur - wie sage ich es SuSEFW? :)
 

Martin Breidenbach

Ultimate Guru
Das ist ja der Punkt den ich nicht verstehe... wenn die Clients ohne Proxy via http rauskommen... wieso kommt dann der David nicht via SMTP raus ?

Jetzt ist ja offenbar das Masquerading kaputt (also mach die Änderung erstmal wieder rückgängig).
 

framp

Moderator
Teammitglied
Martin Breidenbach schrieb:
Das ist ja der Punkt den ich nicht verstehe... wenn die Clients ohne Proxy via http rauskommen... wieso kommt dann der David nicht via SMTP raus ?

Jetzt ist ja offenbar das Masquerading kaputt (also mach die Änderung erstmal wieder rückgängig).
Posting von
Code:
iptables -L -vn
sollte Licht ins Dunkel bringen :roll:
 
OP
S

susenewcomer

Newbie
Falls ich mich gerade falsch ausgedrückt habe:

die Clients kamen vorher ohne Proxy raus, jetzt (seit meinem MAIL-
Problem mit port 25 usw.) nur noch MIT Proxy.

Ausserdem hab ich die David-Dienste nochmal neu gestartet, jetzt kommt der selbe timeout wie vorher.

FW_MASQ_DEV="$FW_DEV_EXT" mach ich also jetzt wieder rückgängig, oder?
 
Oben