fetchmail bei gmail verursacht "iptables denied"

[scientific]

Hi Leute!

Ich habe iptables aktiviert und bekomme beim Abruf mit fetchmail bei meinem Gmail-Account folgende Meldung ins Journal

Code: Alles auswählen

Jun 16 06:35:40 aldebaran fetchmail[13339]: 59 Nachrichten (59 gesehene) für recent:meinusernamebeigmail@gmail.com bei pop.gmail.com (740266 Bytes).
Jun 16 06:35:41 aldebaran kernel: iptables denied: IN=wlo1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=74.125.206.108 DST=192.168.0.14 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=11242 PROTO=TCP SPT=995 DPT=52942 WINDOW=0 RES=0x00 RST URGP=0 

Aber nur bei Gmail. Bei den anderen Mailprovidern nicht.

meine iptables- Rules sehen so aus:

Code: Alles auswählen

# grep -v "^#" /etc/iptables.firewall.rules |sed '/^$/d'
*filter
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
-A INPUT -p udp -m udp --dport 67 -j DROP
-A OUTPUT -o lo -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -j ACCEPT 
-A INPUT -i ppp+ -j ACCEPT
-A OUTPUT -o ppp+ -j ACCEPT
-A INPUT -p tcp --dport 1723 -j ACCEPT
-A INPUT -p 47 -j ACCEPT
-A OUTPUT -p 47 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
-A INPUT -p tcp --dport 143 -j ACCEPT  
-A INPUT -p tcp --dport 993 -j ACCEPT
-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 587 -j ACCEPT
-A INPUT -p tcp --dport 465 -j ACCEPT
-A INPUT -p tcp --dport 110 -j ACCEPT
-A INPUT -p tcp --dport 995 -j ACCEPT
-A INPUT -p tcp --dport 143 -j ACCEPT
-A INPUT -p tcp --dport 993 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
-A FORWARD -j DROP
-A INPUT   -j ACCEPT -p all -s 192.168.0.0/24 -i enp8s0
-A OUTPUT  -j ACCEPT -p all -d 192.168.0.0/24 -o enp8s0
-A INPUT   -j ACCEPT -p all -s 192.168.0.0/24 -i wlo1 
-A OUTPUT  -j ACCEPT -p all -d 192.168.0.0/24 -o wlo1
-I INPUT   -j ACCEPT -p udp -s 192.168.0.0/24 --dport 67:68 --sport 67:68 -i wlo1 
COMMIT

Ich muss gestehen, dass ich dieses auch nur wo abgekupfert habe und von iptables nicht wirklich Ahnung habe.
Was will google beim Abruf mit fetchmail überhaupt von meinem Rechner, und sind meine Regeln korrekt?

lg scientific

[MSfree]

Code: Alles auswählen

SRC=74.125.206.108 DST=192.168.0.14

Das ist wohl die Antwort von einer Anfrage aus dem LAN mit privatem Adressbereich 192.168.0.0/24. In deinen IPTables-Regeln sehe ich jedoch keine NAT-Regel, so daß das Paket sowieso in Leere laufen würde, auch ohne Firewallregeln.

[eggy]

etwas offtopic: Deine Regelwerk macht evtl nicht ganz das was Du erwartest

Code: Alles auswählen

Durch die Regel 
-A OUTPUT -j ACCEPT
wird das folgende ignoriert
-A FORWARD -j DROP 
-A OUTPUT  -j ACCEPT -p all -d 192.168.0.0/24 -o enp8s0
-A OUTPUT  -j ACCEPT -p all -d 192.168.0.0/24 -o wlo1

und durch das 
-A INPUT -j DROP
diese
-A INPUT   -j ACCEPT -p all -s 192.168.0.0/24 -i enp8s0
-A INPUT   -j ACCEPT -p all -s 192.168.0.0/24 -i wlo1

beschäftige Dich lieber nochmal in Ruhe mit iptables, inbesondere mit der Abarbeitungsreihenfolge, Policy und dem Unterschied zwischen -I und -A

[scientific]

Es gibt so viel unterschiedliche Literatur zu dem Thema... Das ist ja auch der Grund, emwarum ich da noch so ein Nackerpatzl bin.

Was ich jetzt schon rausgefunden habe, muss man streng unterscheiden, ob man auf dem Rechner einen Client nutzt oder am selben Rechner auch einen Server.

Probleme bereiten div. Multicast. Pakete...

Gibts irgendwo eine Beispielkonfig für einen Server, auf dem ssh, samba, smtp- und imap, cups usw. läuft, und eine zweite Besispielkonfig für einen Clientrechner für diese Dienste.

Und dann ein Howto, wie man diese beiden Konfigs zusammenfügt?

Lg scientific