Помогите плиз! В фирме поставили нам радиодоступ в инет. Настройка сервака на iptables. Проблема в следующем: с локальной машины через броузер поту проверяет, отправляет - проблем нет. Проблемно отправить/получить почту скажем ч/з BAT (предпочтительно) или OUTLOOK.
Ругается что не может соединится с сервером. Пинги не проходят (напр. на pop3.rambler.ru). Однако если эту строку занести в броузер - открывается приглашение на ввод имени и пароля. Файерволов нет. На серваке две сетевухи. Одна смотрит на маршрутизатор, тот в свою очередь в инет. Вторая на мой комп (прямое соединение без Switch'a).
В самой фирме говорят - нуно книжку почитать. Здесь что-то не так. На серваке сканером портов обнаружены только 22 (unknown) и 111 (sunrpc).
Помогите плиз, у меня ящик на рамблере не резиновый, а письма нужны именно как письма (с датами отправки и написания...)
>Помогите плиз, у меня ящик на рамблере не резиновый, а письма нужны
>именно как письма (с датами отправки и написания...)
Давно пора в факи... Для получения почты по POP3 с внешнего сервера по 110 порту нужно ставить правило REJECT, а не DROP.
>>Помогите плиз, у меня ящик на рамблере не резиновый, а письма нужны
>>именно как письма (с датами отправки и написания...)
>Давно пора в факи... Для получения почты по POP3 с внешнего сервера
>по 110 порту нужно ставить правило REJECT, а не DROP.Если не трудно по подробнее. Я в линуксе полный ноль. Обложился вокруг описаловками и вариантами настроек.
>Если не трудно по подробнее. Я в линуксе полный ноль. Обложился вокруг
>описаловками и вариантами настроек.
общее понимание iptables - здесь на сайте лежит перевод Киселева руоводства Андерссона "Iptables Tutorial" - лучше не найдешь... или на www.netfilter.org - и читать документацию там, тема чересчур широка, чтоб в двух словах объяснить. Работа POP3 описана в RFC. А в твоей ситуации прием почты обламывается по схеме - после посылки запроса с локальной машины сервер пытается установить прямое обратное соединение на 110 порт. Если по входящим пакетам действие по умолчанию DROP (как обычно файрвол и настраивается), то соединение не устанавливается и сервер отваливается по таймауту. Если пославить по 110 порту действие REJECT (не терять пакет, а дать сообщение об отлупе), то тогда сервер испльзует ESTABLISHED соединение и все идет ок. Действие на всех портах по умолчанию REJECT ставить не следует - чересчур возрастет нагрузка на рутер и канал.
В английских факах это есть, а вот в русских не встречал.
P.S. Здесь такие вопросы появляются с завидной регулярностью...
>В английских факах это есть, а вот в русских не встречал.
>P.S. Здесь такие вопросы появляются с завидной регулярностью...Даже если делаешь сброс iptables и в листинге пусто - все равно не работает. Даже если разрешаешь все и вся - таже фигня.
Мне в этом сложно ориентироваться. Статью нашел. Ее что бы прочитать всю - опухнуть можно. Тем более что я с Линуксом не работал до этого... Придется мне скорее всего сносить всю это. И делать как делал всегда - ставить голый мастдай и внешний роутер вешать на него... ОБИДНО...
чё те надо? пронатить?
зайди на рутер
1) ifconfig -a
2) iptables -t filter -L
3) iptables -t nat -L
вывод команд сюда.
>>В английских факах это есть, а вот в русских не встречал.
>>P.S. Здесь такие вопросы появляются с завидной регулярностью...
>
>Даже если делаешь сброс iptables и в листинге пусто - все равно
>не работает. Даже если разрешаешь все и вся - таже фигня.
>
>Мне в этом сложно ориентироваться. Статью нашел. Ее что бы прочитать всю
>- опухнуть можно. Тем более что я с Линуксом не работал
>до этого... Придется мне скорее всего сносить всю это. И делать
>как делал всегда - ставить голый мастдай и внешний роутер вешать
>на него... ОБИДНО...
ifconfig -aeth0 Link encap:Ethernet HWaddr 00:0A:5E:40:1F:47
inet addr:192.168.1.254 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:645 errors:0 dropped:0 overruns:1 frame:0
TX packets:664 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:79014 (77.1 Kb) TX bytes:160641 (156.8 Kb)
Interrupt:10 Base address:0xe000eth1 Link encap:Ethernet HWaddr 00:0A:5E:40:1E:D5
inet addr:62.33.89.182 Bcast:62.33.89.191 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:771 errors:0 dropped:0 overruns:1 frame:0
TX packets:840 errors:0 dropped:0 overruns:0 carrier:0
collisions:2 txqueuelen:100
RX bytes:203132 (198.3 Kb) TX bytes:103203 (100.7 Kb)
Interrupt:11 Base address:0xe400lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:40 errors:0 dropped:0 overruns:0 frame:0
TX packets:40 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:34075 (33.2 Kb) TX bytes:34075 (33.2 Kb)
iptables -t filter -LChain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destinationiptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destinationChain POSTROUTING (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destination
Надеюсь все правильно сделал и все указал...
>>В английских факах это есть, а вот в русских не встречал.
>>P.S. Здесь такие вопросы появляются с завидной регулярностью...
>
>Даже если делаешь сброс iptables и в листинге пусто - все равно
>не работает. Даже если разрешаешь все и вся - таже фигня.
Именно... Что при сбросе тейблсов, что при разрешении так и будет..
>
>Мне в этом сложно ориентироваться. Статью нашел. Ее что бы прочитать всю
>- опухнуть можно. Тем более что я с Линуксом не работал
>до этого... Придется мне скорее всего сносить всю это. И делать
>как делал всегда - ставить голый мастдай и внешний роутер вешать
>на него... ОБИДНО...
Ну а что ж поделаешь? Читать надо, тем более что проблемы у тебя не в незнании iptables (которые просты как грабли), а в незнании сетевых протоколов. А без этого нарвешься и с виндой.
> Ну а что ж поделаешь? Читать надо, тем более что проблемы
>у тебя не в незнании iptables (которые просты как грабли), а
>в незнании сетевых протоколов. А без этого нарвешься и с виндой.Для Вас может и просты как грабли, а мне как директору крупного предприятия эти грабли ни к чему. Я поэтому в форум и обратился: за помощью, а не за указаниями что я знаю, а что нет... Извини, если что не то сказал...
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 62.33.89.182потести на машине где маршрут по умолчанию показывает на 192.168.1.254
все должно пахать, если пров ничего не режет выше,
а вообще не понятно как у тебя заведен инет,
еще про какой то сервер упоминаешь... сервер чего ?
>> Ну а что ж поделаешь? Читать надо, тем более что проблемы
>>у тебя не в незнании iptables (которые просты как грабли), а
>>в незнании сетевых протоколов. А без этого нарвешься и с виндой.
>
>Для Вас может и просты как грабли, а мне как директору крупного
>предприятия эти грабли ни к чему. Я поэтому в форум и
>обратился: за помощью, а не за указаниями что я знаю, а
>что нет... Извини, если что не то сказал...
Инет у меня заведен следующим образом:
1)антенна (радио инет)
2)радиобридж
3)сервак (как раз на нем все настройки)
4)моя машинка
>iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT
>--to-source 62.33.89.182попробовал - не получилось
>потести на машине где маршрут по умолчанию показывает на 192.168.1.254
это на какой машине? на локалке моей или на серваке?
[root@prod root]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destinationChain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.1.0/24 anywhere to:62.33.89.182Chain OUTPUT (policy ACCEPT)
target prot opt source destination
на том что вы называете СЕРВАКОМ.
да и еще одно
на "СЕРВАКЕ" sysctl -w net.ipv4.ip_forward=1
запахало ?
>>iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT
>>--to-source 62.33.89.182
>
>попробовал - не получилось
>
>>потести на машине где маршрут по умолчанию показывает на 192.168.1.254
>
>это на какой машине? на локалке моей или на серваке?
>на том что вы называете СЕРВАКОМ.
>да и еще одно
>на "СЕРВАКЕ" sysctl -w net.ipv4.ip_forward=1
>запахало ?net.ipv4.ip_forward = 1
Не-а
>Для Вас может и просты как грабли, а мне как директору крупного
>предприятия эти грабли ни к чему. Я поэтому в форум и
>обратился: за помощью, а не за указаниями что я знаю, а
>что нет... Извини, если что не то сказал...
???
С моей скромной точки зрения, директору нужно не копаться в технических подробностях, а пнуть посильнее отдел автоматизации.
Говорю как главный специалист межрегионального управления банка, т.е. как администратор. То, что я знаю системы, моей работе, конечно, способствует, но обязательным требованием не является.
А если некого пинать, кроме компьютерщиков со сторонней организации, которые поставили нам все это оборудование и настраивали этот сервак. А из всего персонала (взрослые дядьки - электромеханики, девчонки - операторы, два электрика и куча уборщиц) в компьютерах разбираюсь более менее только я один. В этом случае деваться некуда. Потому и прошу совета. Только одни пытаются помочь (за что им отдельное человеческое спасибо), а другие не очень...
И знаю я прекрасно что в винде порты по умолчанию открыты все, а в линуксе по умолчанию - закрыты. И подозреваю я что дело именно в этом. Только не зная Линукса не могу в этом разобраться.
А может прокся все тормозит..._______________________
Если бы знал сам - совета не спрашивал бы.
>А если некого пинать, кроме компьютерщиков со сторонней организации, которые поставили нам
>все это оборудование и настраивали этот сервак.
их и пинать - материально... впрочем, здесь продолжать не буду.
>И знаю я прекрасно что в винде порты по умолчанию открыты все,
>а в линуксе по умолчанию - закрыты. И подозреваю я что
>дело именно в этом.
неправильно...
Только не зная Линукса не могу в
>этом разобраться.
>А может прокся все тормозит...
>
Если прокся - то и винда не заработает. Смотреть нужно по месту.
Простой, надежный и правильный путь - за 15 минут взводится на линуксе почтовый сервер, и на рамблере делается переадресация на этот адрес
Шпасибо всем.Отдельное огромное спасибо OPEN.
Помог мне слона в глазу разглядеть.
Компьютерщики, которые ставили оборудование несмотря на мои протесты не прописали DNS мотивируя это тем, что при наличии маршрутизатора он не нужен.
Оказалось - нужен даже очень...Все работало, нужно было только ДНС прописать
>Работа POP3 описана в RFC. А в твоей ситуации прием почты
>обламывается по схеме - после посылки запроса с локальной машины сервер
>пытается установить прямое обратное соединение на 110 порт. Если по входящим
>пакетам действие по умолчанию DROP (как обычно файрвол и настраивается), то
>соединение не устанавливается и сервер отваливается по таймауту. Если пославить по
>110 порту действие REJECT (не терять пакет, а дать сообщение об
>отлупе), то тогда сервер испльзует ESTABLISHED соединение и все идет ок.Хитрая схема! :-) Надо бы Вам самому что-нибудь почитать! имхо...
>Помогите плиз! В фирме поставили нам радиодоступ в инет. Настройка сервака на
>iptables. Проблема в следующем: с локальной машины через броузер поту проверяет,
>отправляет - проблем нет. Проблемно отправить/получить почту скажем ч/з BAT (предпочтительно)
>или OUTLOOK.
>Ругается что не может соединится с сервером. Пинги не проходят (напр. на
>pop3.rambler.ru). Однако если эту строку занести в броузер - открывается приглашение
Если пинга нет, значит соединение идет через прокси-сервер. Прокси-сервер почту (25,110)порты не кеширует, отсюда и проблемы. Решение: 1.соединение без прокси (через NAT), либо 2. почтовый релей установить в сети.
Я тоже так подумал сначала. Но "компьютерщики" из фирмы говорят, что дело не в этом. Вот я и хочу разобраться со всем этим. Прокся стоит на серваке. Для нее порт открыт 8080. Этот же сервак по-моему и не пускает почтовые клиенты...
>Я тоже так подумал сначала. Но "компьютерщики" из фирмы говорят, что дело
>не в этом. Вот я и хочу разобраться со всем этим.
>Прокся стоит на серваке. Для нее порт открыт 8080. Этот же
>сервак по-моему и не пускает почтовые клиенты...
1. Из Линукса внешний мир отвечает на подключения к 110 порту?
2. Если да, то должно работать. SNAT как было предложено выше и проверить включена ли на Линуксе маршрутизация (cat /proc/sys/net/ipv4/ip_forward)
>1. Из Линукса внешний мир отвечает на подключения к 110 порту?Как проверить?
>2. Если да, то должно работать. SNAT как было предложено выше и
>проверить включена ли на Линуксе маршрутизация (cat /proc/sys/net/ipv4/ip_forward)в этом файле: 1
>>1. Из Линукса внешний мир отвечает на подключения к 110 порту?
>
>Как проверить?telnet pop3.rambler.ru 110
Ответит или нет?
Вообще Инет доступен из Линукса?
Маршрут по умолчанию?
Trying 81.19.66.20...
Connected to pop3.rambler.ru.
Escape character is '^]'.
+OK mail.rambler.ru pop3 ready <737c4447.1093521318@mail.rambler.ru>
>Trying 81.19.66.20...
>Connected to pop3.rambler.ru.
>Escape character is '^]'.
>+OK mail.rambler.ru pop3 ready <737c4447.1093521318@mail.rambler.ru>SNAT + маршрутизация должны помочь. Не вижу никаких препятствий.
[root@prod root]# telnet pop3.rambler.ru 25
Trying 81.19.66.20...
Connected to pop3.rambler.ru.
Escape character is '^]'.
220 mailc.rambler.ru ESMTP Sendmail 8.12.10/8.12.10; Thu, 26 Aug 2004 15:57:07 +0400 (MSD)Инет доступен и с моего компа. Через броузер почту проверяю нормально. Не коннектятся почтовики...
Может мне доступ открыть кому-нить? Покопаетесь...
Там секретного ничего нет.
А то у нас уже поздно, до дома не доеду...
можешь в аську 96571797 или по мыло open@immo.ru логин прислать
попытаюсь помочь, только cо своей машины ping www.ru -t оставь на ночь
или посиди мин 15 может сразу чё нить отвечу>Может мне доступ открыть кому-нить? Покопаетесь...
>Там секретного ничего нет.
>А то у нас уже поздно, до дома не доеду...