[IPTABLES] l'envoi de mails par ma passerelle est très lent

l'envoi de mails par ma passerelle est très lent [IPTABLES] - Linux et OS Alternatifs

Marsh Posté le 20-11-2003 à 19:01:15    

bonjour,
 
je suis très content de ma passerelle qui fait du nat et du firewalling grace à iptables. cependant, l'envoi de mails est fastidieux et échoue souvent dès qu'ils sont gros (i.e. + de 30Ko !).
 
Voici mon script iptables : il n'y a rien concernant les ports sortnant pour le mail, en connexion sécurisée ou pas. est-ce normal ??
 
merci
 


#!/bin/sh
# Script "firewall.sh"
# Fichier contenant les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
 
#ACTIVATION DU FORWARDING
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
 
# DEBUT des règles de FIREWALLING
 
# DEBUT des politiques par défaut
 
# Je veux que les connexions entrantes soient bloquées par défaut
# Je veux que les connexions destinées à être forwardées
#   soient acceptées par défaut
# Je veux que les connexions sortantes soient acceptées par défaut
 
# FIN des politiques par défaut
 
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# J'autorise les connexions TCP entrantes sur les ports 20 et 21
# (pour que mon serveur FTP soit joignable de l'extérieur)
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
 
# J'autorise les connexions TCP entrantes sur le port 22
# (pour que mon serveur SSH soit joignable de l'extérieur)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
# J'autorise les connexions TCP entrantes sur le port 25
# (pour que mon serveur de mail soit joignable de l'extérieur)
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
 
# connexion au port 4662 pour E-Mule
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
 
# connexion au port 6346 pour Shareaza
iptables -A INPUT -p tcp --dport 6346 -j ACCEPT
iptables -A INPUT -p udp --dport 6346 -j ACCEPT
 
# J'autorise les connexions TCP et UDP entrantes sur le port 53
# (pour que mon serveur DNS soit joignable de l'extérieur)
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
 
# J'autorise les connexions TCP entrantes sur le port 80
# (pour que mon serveur HTTP soit joignable de l'extérieur)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 
# J'autorise les connexions TCP et UDP entrantes sur le port 139
# mais uniquement sur l'interface "eth0"
# (pour que mon serveur Samba soit joignable depuis mon LAN seulement)
#iptables -A INPUT -p tcp --dport 139 -i eth0 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -i eth0 -j ACCEPT
 
# J'autorise les connexions UDP entrantes sur le port 177
# (pour que des clients puissent se connecter à mon système par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT
 
# J'autorise les connexions TCP entrantes sur le port 6001
# (pour que je puisse me connecter par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
 
# J'autorise les connexions TCP entrantes sur le port 2401
# (pour permettre l'accès au CVS à des utilisateurs qui n'ont
# pas de compte sur le système via le "pserver" )
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
 
# J'autorise les flux UDP entrants sur le port 1234
# (pour pourvoir reçevoir les flux VideoLAN)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT
 
# J'autorise les flux UDP envoyés sur l'adresse multicast 224.2.127.254
# et dont le port destination est 9875 (pour reçevoir les annonces SAP)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
 
# J'autorise les flux TCP et UDP entrants nécessaires au fonctionnement
# de GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
 
# J'accepte le protocole ICMP (i.e. le "ping" )
iptables -A INPUT -p icmp -j ACCEPT
 
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
 
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
 
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
 
# FIN des règles de FIREWALLING
 
 
# DEBUT des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
 
# Je veux que mon système fasse office de "serveur NAT"
# (Remplaçez "eth0" par votre interface connectée à Internet)
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
 
# FIN des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
 
# DEBUT des règles de PORT FORWARDING
 
# Je veux que les requêtes TCP reçues sur le port 80 soient forwardées
# à la machine dont l'IP est 192.168.0.3 sur son port 80
# (la réponse à la requête sera forwardée au client)
#iptables -t nat -A PREROUTING -p tcp --dport 22 -i ppp0 -j DNAT --to-destination 127.0.0.0:22
#iptables -t nat -A PREROUTING -p tcp --dport 4662 -i ppp0 -j DNAT --to-destination 192.168.0.3:4662
#iptables -t nat -A PREROUTING -p udp --dport 4672 -i ppp0 -j DNAT --to-destination 192.168.0.3:4672
 
# Je veux profiter tout seul du réseau Shareaza
iptables -t nat -A PREROUTING -p tcp --dport 6346 -i ppp0 -j DNAT --to-destination 192.168.0.2:6346
iptables -t nat -A PREROUTING -p udp --dport 6346 -i ppp0 -j DNAT --to-destination 192.168.0.2:6346
 
#FIN des règles de PORT FORWARDING

Reply

Marsh Posté le 20-11-2003 à 19:01:15   

Reply

Marsh Posté le 20-11-2003 à 19:24:57    

tu devrais plutot poster tes log, genre un mail.log
qu'est ce qui te fait dire que le problème vient de ton firewall?
les mails partent mieux quand tu le désactive ?

Reply

Marsh Posté le 20-11-2003 à 19:29:14    

ben non si je désactive le script iptables j'aurai plus le NAT et donc plus internet depuis le rézo local, ah oui au fait, j'envois des mails depuis mon réseau local 192.168.0.0 via la passerelle qui fait du NAT.
 
en gros le message d'erreur du client mail c'est "délai d'attente dépassé"...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed