iptables設(shè)置后.發(fā)郵件問題

hj12333

我服務(wù)器設(shè)置了iptables防火墻后,不能發(fā)郵件了,但能收郵件.我現(xiàn)在的防火墻是這樣設(shè)置的.
首先iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP把所有鏈都關(guān)閉.然后開了80 22 53 110 25....等端口,
郵件收發(fā)的端口我都開了.但還是不能發(fā)郵件,經(jīng)過我檢查后,應(yīng)該是防火墻禁了一些端口導(dǎo)致本地不能解析域名,所以導(dǎo)致不能發(fā)郵件,比如現(xiàn)在在服務(wù)器上
ping 163.com,都不能正常解析,我現(xiàn)在不知道開啟哪個(gè)解析的端口才能正常解析發(fā)郵件了.有哪位大哥知道嗎.指點(diǎn)下老弟.....

llxxtnt

dns是53port，可你已經(jīng)開了
實(shí)在不行抓包看看吧，看哪個(gè)包被擋了

ssffzz1

帖規(guī)則。

hj12333

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:38438
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2001
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8000
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:9000:9049

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:38438
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:2001
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:8000
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spts:9000:9049
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:53


這是我現(xiàn)在的規(guī)則,因?yàn)椴荒馨l(fā)郵件,我暫時(shí)先把鏈全打開了.請(qǐng)大俠看看.

ssffzz1

你還應(yīng)該開UDP 53吧？

kentchoi

udp，tcp 都開了吧。。。

默認(rèn)是 UDP 53 ，，但是區(qū)域傳送（這個(gè)估計(jì)這種環(huán)境看不見），以及DNS響應(yīng)超過512字節(jié)的時(shí)候，將被 truncated，然后
會(huì)重發(fā)TCP的請(qǐng)求，也不常見。

呵呵。。

問一下 sszzff1，，為啥現(xiàn)在大部分UDP都是512字節(jié)或者小于512字節(jié)的數(shù)據(jù)包？
就是為了速度快嗎？

[ 本帖最后由 kentchoi 于 2009-4-8 09:13 編輯 ]

ssffzz1

UDP 512 是一個(gè)建議值了。因?yàn)樵缙趯?duì)網(wǎng)絡(luò)規(guī)定最小MTU為576字節(jié)，UDP 512 可以絕對(duì)保證包順利的通過網(wǎng)絡(luò)到達(dá)對(duì)端，不會(huì)因?yàn)镸TU問題而被丟棄。

當(dāng)然在現(xiàn)代的網(wǎng)絡(luò)中可能你發(fā)1472的UDP都不是問題了。但是不保證能過哦。

TCP/IP協(xié)議詳解 卷一 有過論述的，查閱即可。

hj12333

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:38438
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2001
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8000
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:9000:9049
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:38438
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:2001
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:8000
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spts:9000:9049
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53

UDP TCP都加了53端口哦.可一樣在服務(wù)器上ping 163.com 域名.一樣解析不了.

kentchoi

OK，查了一下 ，

3.2 有描述，主機(jī)一般不接受576字節(jié)以上的數(shù)據(jù)包，TCP有分片所以不受影響，
所有UDP應(yīng)用大部分使用512字節(jié)數(shù)據(jù)包來(lái)傳送數(shù)據(jù)了。

11.10 也有，要求主機(jī)必須接受最小分片為576字節(jié)的數(shù)據(jù)包，，，（把這個(gè)想成最小字節(jié)是576了，，，所以迷糊了一下）

靜觀神通