iptables設(shè)置后.發(fā)郵件問題

hj12333

我服務(wù)器設(shè)置了iptables防火墻后,不能發(fā)郵件了,但能收郵件.我現(xiàn)在的防火墻是這樣設(shè)置的.\r\n首先iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP把所有鏈都關(guān)閉.然后開了80 22 53 110 25....等端口,\r\n郵件收發(fā)的端口我都開了.但還是不能發(fā)郵件,經(jīng)過我檢查后,應(yīng)該是防火墻禁了一些端口導(dǎo)致本地不能解析域名,所以導(dǎo)致不能發(fā)郵件,比如現(xiàn)在在服務(wù)器上\r\nping 163.com,都不能正常解析,我現(xiàn)在不知道開啟哪個(gè)解析的端口才能正常解析發(fā)郵件了.有哪位大哥知道嗎.指點(diǎn)下老弟.....

llxxtnt

dns是53port，可你已經(jīng)開了\r\n實(shí)在不行抓包看看吧，看哪個(gè)包被擋了

hj12333

Chain INPUT (policy ACCEPT)\r\ntarget     prot opt source               destination         \r\nACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:38438 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2001 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8000 \r\nACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:9000:9049 \r\n\r\nChain FORWARD (policy ACCEPT)\r\ntarget     prot opt source               destination         \r\n\r\nChain OUTPUT (policy ACCEPT)\r\ntarget     prot opt source               destination         \r\nACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:38438 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:3306 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:110 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:25 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:2001 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:8000 \r\nACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spts:9000:9049 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:53 \r\n\r\n\r\n這是我現(xiàn)在的規(guī)則,因?yàn)椴荒馨l(fā)郵件,我暫時(shí)先把鏈全打開了.請(qǐng)大俠看看.

ssffzz1

你還應(yīng)該開UDP 53吧？

kentchoi

udp，tcp 都開了吧。。。\r\n\r\n默認(rèn)是 UDP 53 ，，但是區(qū)域傳送（這個(gè)估計(jì)這種環(huán)境看不見），以及DNS響應(yīng)超過512字節(jié)的時(shí)候，將被 truncated，然后\r\n會(huì)重發(fā)TCP的請(qǐng)求，也不常見。\r\n\r\n呵呵。。\r\n\r\n問一下 sszzff1，，為啥現(xiàn)在大部分UDP都是512字節(jié)或者小于512字節(jié)的數(shù)據(jù)包？\r\n就是為了速度快嗎？\n\n[ 本帖最后由 kentchoi 于 2009-4-8 09:13 編輯 ]

ssffzz1

UDP 512 是一個(gè)建議值了。因?yàn)樵缙趯?duì)網(wǎng)絡(luò)規(guī)定最小MTU為576字節(jié)，UDP 512 可以絕對(duì)保證包順利的通過網(wǎng)絡(luò)到達(dá)對(duì)端，不會(huì)因?yàn)镸TU問題而被丟棄。\r\n\r\n當(dāng)然在現(xiàn)代的網(wǎng)絡(luò)中可能你發(fā)1472的UDP都不是問題了。但是不保證能過哦。\r\n\r\nTCP/IP協(xié)議詳解 卷一 有過論述的，查閱即可。

hj12333

Chain INPUT (policy DROP)\r\ntarget     prot opt source               destination         \r\nACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:38438 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2001 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8000 \r\nACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:9000:9049 \r\nACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53 \r\n\r\nChain FORWARD (policy DROP)\r\ntarget     prot opt source               destination         \r\n\r\nChain OUTPUT (policy DROP)\r\ntarget     prot opt source               destination         \r\nACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:38438 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:3306 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:110 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:25 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:2001 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:8000 \r\nACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spts:9000:9049 \r\nACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:53 \r\nACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53\r\n\r\nUDP TCP都加了53端口哦.可一樣在服務(wù)器上ping 163.com 域名.一樣解析不了.

kentchoi

OK，查了一下 ， \r\n\r\n3.2 有描述，主機(jī)一般不接受576字節(jié)以上的數(shù)據(jù)包，TCP有分片所以不受影響，\r\n所有UDP應(yīng)用大部分使用512字節(jié)數(shù)據(jù)包來傳送數(shù)據(jù)了。\r\n\r\n11.10 也有，要求主機(jī)必須接受最小分片為576字節(jié)的數(shù)據(jù)包，，，（把這個(gè)想成最小字節(jié)是576了，，，所以迷糊了一下）

hj12333

能告訴我還得開哪個(gè)端口,或加什么協(xié)議嗎.