fetchmail bei gmail verursacht "iptables denied"

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

fetchmail bei gmail verursacht "iptables denied"

Beitrag von scientific » 16.06.2017 06:47:46

Hi Leute!

Ich habe iptables aktiviert und bekomme beim Abruf mit fetchmail bei meinem Gmail-Account folgende Meldung ins Journal

Code: Alles auswählen

Jun 16 06:35:40 aldebaran fetchmail[13339]: 59 Nachrichten (59 gesehene) für recent:meinusernamebeigmail@gmail.com bei pop.gmail.com (740266 Bytes).
Jun 16 06:35:41 aldebaran kernel: iptables denied: IN=wlo1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=74.125.206.108 DST=192.168.0.14 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=11242 PROTO=TCP SPT=995 DPT=52942 WINDOW=0 RES=0x00 RST URGP=0 
Aber nur bei Gmail. Bei den anderen Mailprovidern nicht.

meine iptables- Rules sehen so aus:

Code: Alles auswählen

# grep -v "^#" /etc/iptables.firewall.rules |sed '/^$/d'
*filter
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
-A INPUT -p udp -m udp --dport 67 -j DROP
-A OUTPUT -o lo -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -j ACCEPT 
-A INPUT -i ppp+ -j ACCEPT
-A OUTPUT -o ppp+ -j ACCEPT
-A INPUT -p tcp --dport 1723 -j ACCEPT
-A INPUT -p 47 -j ACCEPT
-A OUTPUT -p 47 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
-A INPUT -p tcp --dport 143 -j ACCEPT  
-A INPUT -p tcp --dport 993 -j ACCEPT
-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 587 -j ACCEPT
-A INPUT -p tcp --dport 465 -j ACCEPT
-A INPUT -p tcp --dport 110 -j ACCEPT
-A INPUT -p tcp --dport 995 -j ACCEPT
-A INPUT -p tcp --dport 143 -j ACCEPT
-A INPUT -p tcp --dport 993 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
-A FORWARD -j DROP
-A INPUT   -j ACCEPT -p all -s 192.168.0.0/24 -i enp8s0
-A OUTPUT  -j ACCEPT -p all -d 192.168.0.0/24 -o enp8s0
-A INPUT   -j ACCEPT -p all -s 192.168.0.0/24 -i wlo1 
-A OUTPUT  -j ACCEPT -p all -d 192.168.0.0/24 -o wlo1
-I INPUT   -j ACCEPT -p udp -s 192.168.0.0/24 --dport 67:68 --sport 67:68 -i wlo1 
COMMIT
Ich muss gestehen, dass ich dieses auch nur wo abgekupfert habe und von iptables nicht wirklich Ahnung habe.
Was will google beim Abruf mit fetchmail überhaupt von meinem Rechner, und sind meine Regeln korrekt?

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: fetchmail bei gmail verursacht "iptables denied"

Beitrag von MSfree » 16.06.2017 08:27:39

scientific hat geschrieben:

Code: Alles auswählen

SRC=74.125.206.108 DST=192.168.0.14
Das ist wohl die Antwort von einer Anfrage aus dem LAN mit privatem Adressbereich 192.168.0.0/24. In deinen IPTables-Regeln sehe ich jedoch keine NAT-Regel, so daß das Paket sowieso in Leere laufen würde, auch ohne Firewallregeln.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: fetchmail bei gmail verursacht "iptables denied"

Beitrag von eggy » 16.06.2017 08:55:53

etwas offtopic: Deine Regelwerk macht evtl nicht ganz das was Du erwartest

Code: Alles auswählen

Durch die Regel 
-A OUTPUT -j ACCEPT
wird das folgende ignoriert
-A FORWARD -j DROP 
-A OUTPUT  -j ACCEPT -p all -d 192.168.0.0/24 -o enp8s0
-A OUTPUT  -j ACCEPT -p all -d 192.168.0.0/24 -o wlo1

und durch das 
-A INPUT -j DROP
diese
-A INPUT   -j ACCEPT -p all -s 192.168.0.0/24 -i enp8s0
-A INPUT   -j ACCEPT -p all -s 192.168.0.0/24 -i wlo1
beschäftige Dich lieber nochmal in Ruhe mit iptables, inbesondere mit der Abarbeitungsreihenfolge, Policy und dem Unterschied zwischen -I und -A

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: fetchmail bei gmail verursacht "iptables denied"

Beitrag von scientific » 16.06.2017 18:30:37

Es gibt so viel unterschiedliche Literatur zu dem Thema... Das ist ja auch der Grund, emwarum ich da noch so ein Nackerpatzl bin.

Was ich jetzt schon rausgefunden habe, muss man streng unterscheiden, ob man auf dem Rechner einen Client nutzt oder am selben Rechner auch einen Server.

Probleme bereiten div. Multicast. Pakete...

Gibts irgendwo eine Beispielkonfig für einen Server, auf dem ssh, samba, smtp- und imap, cups usw. läuft, und eine zweite Besispielkonfig für einen Clientrechner für diese Dienste.

Und dann ein Howto, wie man diese beiden Konfigs zusammenfügt?

Lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Antworten