PF und Mail

xGhost

OpenBSD Freack
Tach Tag und hallo.

Ich habe auf dem mailer den PF gestartet.
Im PF habe ich diesen eintrag gemacht:
pass in on $int proto tcp from any to ($int) port 25
Block und set regeln sind natuerlich auch vorhanden so wie PASS fuer 110.
Empfangen kann ich, aber senden auf eine andere domain als den Mailer geht nicht. schalte ich PF aus geht es. Mit PF steht im Log steht:
.... to=<bla@blach.ch>, relay=none, delay=159955, status=deferred (connect to mail.zapp.ch[IP]: Operation time out)
Ich gebrauche Postfix.
Ohne PF gehts...

Danke fuer hilfe
Ghost
 
Zeige mal alle deine Regeln.

Und was mir auffällt: Die Pass-Regel ist keine quick-Regel - wie sieht es mit der Beachtung der Reihenfolge aus?

versuch mal:

# pfctl -d
# tcpdump -i <nw> &
# mail bla@blah.xyz

dann siehst du, welche verbindungen aufgebaut werden, und was du falsch machst.
 
laesst du die mail auch raus? also sowas wie:

Code:
pass out on $int proto tcp from $int to any port 25 flags S/SA modulate state

oder irgendwie in dieser art.

ps. brauchst du wirklich PF auf deinem _mailer_? wo kein dienst ist musst du ja nicht blocken... und wo ein dienst laeuft musst du ja doch freischalten ;)
 
Last edited:
Wohl war, aber auf dem _mailer_ ist auch der Webserver und Mirror. kaum PF deaktiviert, is der Term foll von meldungen von moechtegerne hacker.

Meine "Hackortnung":
set block-policy return
block in on $int proto { tcp udp } from any to ($int)
pass in on $int proto tcp from <ssh_allow> to ($int) port { 22 }
pass in on $int proto tcp from any to ($int) port { 80 53 953 110 443 }
pass in on $int proto tcp from any to ($int) port 21 keep state
pass in on $int proto tcp from any to ($int) port > 49151 keep state
pass in on $int proto tcp from any to ($int) port 25


that`s it!
Ich block nur alles was nach innen kommt, darum mail geht raus, sollte... aber versuchen werde ich es.

cu...
 
kann es sein, dass du generell wenn PF gestartet ist keine dns namen mehr resolven kannst?
im moment sieht das aus, als ob dein mailer einen dns befragt, aber die antwort nicht reinlaesst.

vielleicht hilft dir:
Code:
pass out on $int proto udp from $int to $dns port 53 keep state
oder so aehnlich halt.

ps. wie cdp_xe schon erwaehnte ist die verwendung des "quick" schluesselwortes recht hilfreich ;)
pps. etwas muehe bei deiner rechtschreibung/grammatik waere nett.
 
Last edited:
Nein, der DNS is es nicht....
Denn ohne PF gehts ja, und da ist der DNS auch aktive.
Versucht habe ich`s.
Und empfangen kann ich auch, mit PF und ohne. nur senden nicht!

Auf welchem port kommt die antwort? Im log steht:
relay=mail.zapp.ch[213.213.160.20], delay=1, status=sent (250 Ok: queued as 9AB3027E1DC)

wie macht man diese schoenen felder, welche ihr da gebraucht fuer den code?

CU...

*****NEU*******
Mmmmm, mir is noch in den Sinn gekommen, das wenn ich den PF aktive habe, keine mails extern mit fetchmail holen kann, obwohl ich den port fuer POP3 freigebe.
 
Last edited:
Es geht *freu*
Habe mich im PF bischen eingelesen.
Muss aber noch mehr, will noch wissen was "flag S/..." genau beteutet.

Wer wissen will was ich gemacht habe, kann mein PF.CONF lesen.
habe es als TXT angehaengt.

Danke fuer eure hilfe.

Ghost
 

Attachments

oehm.. dir ist klar, dass durch das "pass quick on $int" alle anderen regeln sinnlos werden?

auf bald
oenone
 
Stimmt.

Habe es jetzt aber ohne fehler gemacht.

die antwort sieht so aus:
mailer.IP.25 > my.IP.port
also:
pass in quick on $int proto tcp from any port 25 to ($int)

coole oder?
Hoffe kann denen helfen die das lesen werden.

CU
 
Back
Top