URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 52472
[ Назад ]
Исходное сообщение
"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 17-Янв-05 13:26 
Доброго всем времени суток !!!!!!!!
Вобщем проблемма моя состоит в следующем
есть шлюз в и-нет на ASPLinux на котором поднят и настроен IPTables
и есть почтовый сервер который стоит в нутри сети
мне надо что 25и 110 порты мапились на IP почтовика в сети
я прописал некоторые правила но почемуто у меня все рано не чего не выходит
помогите пожалуйста если вам не трудно.

Всем заранее спасибо!!!

а вот те правила которые я добавил
сразу оговорюсь что в IPTables я не очень силен поэтому не пинайте меня сразу ногами плз

$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d 192.168.2.1 \
--dport 25 -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d 192.168.2.1 \
--dport 110 -j allowed


$IPTABLES -t nat -A PREROUTING -p tcp -i $LAN_IFACE -d $INET_IP --dport 25 \
-j DNAT --to-destination 192.168.2.1
$IPTABLES -t nat -A PREROUTING -p tcp -i $LAN_IFACE -d $INET_IP --dport 110 \
-j DNAT --to-destination 192.168.2.1


если надо могу превести полный листинг настроек IPTables

Содержание
Сообщения в этом обсуждении
"Помогите разобраться почему неработает мапинг"
Отправлено jonatan , 17-Янв-05 13:52 
>$IPTABLES -t nat -A PREROUTING -p tcp -i $LAN_IFACE -d $INET_IP --dport
>25 \
>-j DNAT --to-destination 192.168.2.1
>$IPTABLES -t nat -A PREROUTING -p tcp -i $LAN_IFACE -d $INET_IP --dport
>110 \
>-j DNAT --to-destination 192.168.2.1

Правильно, скорее всего, так
$IPTABLES -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport 25 -j DNAT --to-destination 192.168.2.1

>если надо могу превести полный листинг настроек IPTables
не надо :)


"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 17-Янв-05 15:55 

>Правильно, скорее всего, так
>$IPTABLES -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport
>25 -j DNAT --to-destination 192.168.2.1

и так тоже не работает :о(
не так не так и ваабще чегото оно ни как не работает :о(


"Помогите разобраться почему неработает мапинг"
Отправлено Corvax , 17-Янв-05 16:04 
>
>>Правильно, скорее всего, так
>>$IPTABLES -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport
>>25 -j DNAT --to-destination 192.168.2.1
>
>и так тоже не работает :о(
>не так не так и ваабще чегото оно ни как не работает
>:о(


Во-первых включен ли форвадинг вообще?
Во-вторых --to-destination 192.168.2.1:25 и --to-destination 192.168.2.1:110 соответственно.

"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 17-Янв-05 16:27 
>Во-первых включен ли форвадинг вообще?
>Во-вторых --to-destination 192.168.2.1:25 и --to-destination 192.168.2.1:110 соответственно.

форвардинг вроде как включен
а 192.168.2.1:110 непомогло

да и вот еще чего у меня чегойто IPTables ругаться начел вот так

iptables v1.2.9: Couldn't load target `alowed':/lib/iptables/libipt_alowed.so: cannot open shared object file: No such file or directory

может из за этого какраз и неработает ??
и файл кстати этот пропал кудато :о(

"Помогите разобраться почему неработает мапинг"
Отправлено jonatan , 17-Янв-05 16:33 
>Во-вторых --to-destination 192.168.2.1:25 и --to-destination 192.168.2.1:110 соответственно.

Это нужно указывать, если мапить на другой порт. Если на аналогичный, то необязательно.

"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 18-Янв-05 10:20 
Люууудииии !!!!
Ктонибудь помогите очень надо
ну нехочет оно работать
подскажите еще чтонибудь!!
Пожааалуйста!!!!


"Помогите разобраться почему неработает мапинг"
Отправлено Den , 18-Янв-05 12:04 
У тебя пакеты с инета внутрь идут а с почтовика наружу нет, нужен еще SNAT почтовика в инет
"Помогите разобраться почему неработает мапинг"
Отправлено _KAV_ , 18-Янв-05 12:13 
>У тебя пакеты с инета внутрь идут а с почтовика наружу нет,
>нужен еще SNAT почтовика в инет
Да ну????
пускай таки проверит модули и сборку - такая конструкция должна работать. Иногда помогает еще разрешение input в правилах

"Помогите разобраться почему неработает мапинг"
Отправлено jonatan , 18-Янв-05 12:43 
Чушь. SNAT для этого не нужен.
"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 18-Янв-05 15:31 
>У тебя пакеты с инета внутрь идут а с почтовика наружу нет,
>нужен еще SNAT почтовика в инет

вот так вот ??
iptables -t nat -A POSTROUTING -p tcp -dport 25 -d MAIL_IP -j SNAT --to-source LAN_IP

"Помогите разобраться почему неработает мапинг"
Отправлено Beginner , 18-Янв-05 13:00 
>Люууудииии !!!!
>Ктонибудь помогите очень надо
>ну нехочет оно работать
>подскажите еще чтонибудь!!
>Пожааалуйста!!!!

Еще раз. У тебя сервер внутри и ты хочешь чтоб он был виден снаружи?

"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 18-Янв-05 15:33 
>>Люууудииии !!!!
>>Ктонибудь помогите очень надо
>>ну нехочет оно работать
>>подскажите еще чтонибудь!!
>>Пожааалуйста!!!!
>
>Еще раз. У тебя сервер внутри и ты хочешь чтоб он был
>виден снаружи?


Да
мне надо чтоб 25 и 110 порты мапились на сервер внутри сети
т.е чтоб он был виден с наружи

"Помогите разобраться почему неработает мапинг"
Отправлено Beginner , 18-Янв-05 16:01 
>>>Люууудииии !!!!
>>>Ктонибудь помогите очень надо
>>>ну нехочет оно работать
>>>подскажите еще чтонибудь!!
>>>Пожааалуйста!!!!
>>
>>Еще раз. У тебя сервер внутри и ты хочешь чтоб он был
>>виден снаружи?
>
>
>Да
>мне надо чтоб 25 и 110 порты мапились на сервер внутри сети
>
>т.е чтоб он был виден с наружи

Тогда так

$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d 192.168.2.1 \
--dport 25 -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d 192.168.2.1 \
--dport 110 -j allowed

$IPTABLES -A FORWARD -p TCP -o $INET_IFACE -i $LAN_IFACE -s 192.168.2.1 \
--sport 25 -j allowed
$IPTABLES -A FORWARD -p TCP -o $INET_IFACE -i $LAN_IFACE -s 192.168.2.1 \
--sport 110 -j allowed


$IPTABLES -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport 25 \
-j DNAT --to-destination 192.168.2.1
$IPTABLES -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport 110 \
-j DNAT --to-destination 192.168.2.1


"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 18-Янв-05 16:16 
>Тогда так
>
>$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d 192.168.2.1 \
>
>--dport 25 -j allowed
>$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d 192.168.2.1 \
>
>--dport 110 -j allowed
>
>$IPTABLES -A FORWARD -p TCP -o $INET_IFACE -i $LAN_IFACE -s 192.168.2.1 \
>
>--sport 25 -j allowed
>$IPTABLES -A FORWARD -p TCP -o $INET_IFACE -i $LAN_IFACE -s 192.168.2.1 \
>
>--sport 110 -j allowed
>
>
>$IPTABLES -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport
>25 \
>-j DNAT --to-destination 192.168.2.1
>$IPTABLES -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport
>110 \
>-j DNAT --to-destination 192.168.2.1


:о(
не помогло
не возможно присоеденится к серверу
может действительно снат нужен ??
щас попробую потом расскажу

"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 18-Янв-05 16:38 
Вобщем если вставить правло
$IPTABLES -t nat -A POSTROUTING -p tcp -dport 25 -d 192.168.2.1 -j SNAT --to-source LAN_IP
то IPTables потом ругается
Bad argument `25'
:о(
идеи еще есть ??
ведь должно же это както работать !!
Я точно знаю !!!
У меня когдато давным давно работало
тока я непомню как :о(
"Помогите разобраться почему неработает мапинг"
Отправлено _KAV_ , 18-Янв-05 17:00 
>Вобщем если вставить правло
>$IPTABLES -t nat -A POSTROUTING -p tcp -dport 25 -d 192.168.2.1 -j
>SNAT --to-source LAN_IP
>то IPTables потом ругается
>Bad argument `25'
>:о(
>идеи еще есть ??
>ведь должно же это както работать !!
>Я точно знаю !!!
>У меня когдато давным давно работало
>тока я непомню как :о(

поменять местами порт и адрес

"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 18-Янв-05 17:16 
>поменять местами порт и адрес

пробовал и так

$IPTABLES -t nat -A POSTROUTING -p tcp --dport 25 -d 192.168.2.1 -j SNAT --to-source $INET_IP

и так

$IPTABLES -t nat -A POSTROUTING -p tcp --dport 25 -d 192.168.2.1 -j SNAT --to-source $LAN_IP

и так

$IPTABLES -t nat -A POSTROUTING -p tcp -d 192.168.2.1 --dport 25 -j SNAT --to-source $LAN_IP
и так

$IPTABLES -t nat -A POSTROUTING -p tcp -d 192.168.2.1 --dport 25 -j SNAT --to-source $INET_IP

не получается ни как :о(

"Помогите разобраться почему неработает мапинг"
Отправлено _KAV_ , 18-Янв-05 17:24 
    iptables  -A PREROUTING -t nat --protocol tcp --destination $IPADDR --destination-port $FTN_PORT -j DNAT --to-destination $INTERNAL_FTN:$FTN_PORT
    iptables -A FORWARD --protocol tcp --destination $INTERNAL_FTN --destination-port $FTN_PORT -j ACCEPT
    iptables -A FORWARD --protocol tcp --destination $IPADDR --destination-port $FTN_PORT -j ACCEPT
мой рабочий пример. Одна строчка форварда лишняя, не помню сейчас какая
"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 18-Янв-05 17:37 
>    iptables  -A PREROUTING -t nat --protocol tcp
>--destination $IPADDR --destination-port $FTN_PORT -j DNAT --to-destination $INTERNAL_FTN:$FTN_PORT
>    iptables -A FORWARD --protocol tcp --destination $INTERNAL_FTN --destination-port
>$FTN_PORT -j ACCEPT
>    iptables -A FORWARD --protocol tcp --destination $IPADDR --destination-port
>$FTN_PORT -j ACCEPT
>мой рабочий пример. Одна строчка форварда лишняя, не помню сейчас какая

по поводу переменных
$IPADDR - адрес сервера в нутри сети ??
$INTERNAL_FTN - внутренний айпишник шлюза ??
Я правильно понял ?? Или все на оборот ??

"Помогите разобраться почему неработает мапинг"
Отправлено _KAV_ , 18-Янв-05 17:43 
>по поводу переменных
>$IPADDR - адрес сервера в нутри сети ??
нет, это его внешний адрес - на который ломятся клиенты снаружи. real ip.
>$INTERNAL_FTN - внутренний айпишник шлюза ??
нет, это внутренний адрес машины, на которую я пробрасываю. 192.168.х.х
>Я правильно понял ?? Или все на оборот ??


"Помогите разобраться почему неработает мапинг"
Отправлено _KAV_ , 18-Янв-05 17:46 
И, кстати, проверять проброску нужно снаружи  - изнутри требует отдельной сборки ядра
"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 19-Янв-05 10:31 
>И, кстати, проверять проброску нужно снаружи  - изнутри требует отдельной сборки
>ядра


да я с наружи проверяю через терминал с другого сервера
только вот не работает почемуто
может всетаки выложить полный конфиг свой ??
может там какиенить ошибки есть которые я не замечаю ??

"Помогите разобраться почему неработает мапинг"
Отправлено _KAV_ , 19-Янв-05 11:48 
>
>да я с наружи проверяю через терминал с другого сервера
>только вот не работает почемуто
>может всетаки выложить полный конфиг свой ??
>может там какиенить ошибки есть которые я не замечаю ??
Ну, давай... попробуем.

"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 19-Янв-05 15:10 
>Ну, давай... попробуем.
вот
#!/bin/sh
#
INET_IP="213.33.176.53"
INET_IFACE="eth1"
INET_BROADCAST="213.33.176.63"
#
LAN_IP="192.168.2.250"
LAN_IP_RANGE="192.168.2.0/24"
LAN_BROADCAST_ADDRESS="192.168.2.255"
LAN_IFACE="eth0"
#
LO_IFACE="lo"
LO_IP="127.0.0.1"
#
IPTABLES="/sbin/iptables"
#
/sbin/depmod -a
#
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#
$IPTABLES -N bad_tcp_packets
#
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
#
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
#
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
#
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
#
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
#
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
#
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
#
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT
#
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
#
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
#
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
#
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
$IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
$IPTABLES -A FORWARD --protocol tcp --destination $INET_IP --destination-port 25 -j ACCEPT
#
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
#
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
#
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
#
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
$IPTABLES  -A PREROUTING -t nat --protocol tcp --destination $INET_IP --destination-port 25 \
-j DNAT --to-destination 192.168.2.1
#
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
#


я коментарии убрал чтоб поменьше было

"Помогите разобраться почему неработает мапинг"
Отправлено Beginner , 19-Янв-05 15:31 
>>Ну, давай... попробуем.
>вот
>#!/bin/sh
>#
>INET_IP="213.33.176.53"
>INET_IFACE="eth1"
>INET_BROADCAST="213.33.176.63"
>#
>LAN_IP="192.168.2.250"
>LAN_IP_RANGE="192.168.2.0/24"
>LAN_BROADCAST_ADDRESS="192.168.2.255"
>LAN_IFACE="eth0"
>#
>LO_IFACE="lo"
>LO_IP="127.0.0.1"
>#
>IPTABLES="/sbin/iptables"
>#
>/sbin/depmod -a
>#
>/sbin/modprobe ip_tables
>/sbin/modprobe ip_conntrack
>/sbin/modprobe iptable_filter
>/sbin/modprobe iptable_mangle
>/sbin/modprobe iptable_nat
>/sbin/modprobe ipt_LOG
>/sbin/modprobe ipt_limit
>/sbin/modprobe ipt_state
>#
>echo "1" > /proc/sys/net/ipv4/ip_forward
>#
>$IPTABLES -P INPUT DROP
>$IPTABLES -P OUTPUT DROP
>$IPTABLES -P FORWARD DROP
>#
>$IPTABLES -N bad_tcp_packets
>#
>$IPTABLES -N allowed
>$IPTABLES -N tcp_packets
>$IPTABLES -N udp_packets
>$IPTABLES -N icmp_packets
>#
>$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j
>LOG \
>--log-prefix "New not syn:"
>$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j
>DROP
>#
>$IPTABLES -A allowed -p TCP --syn -j ACCEPT
>$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
>$IPTABLES -A allowed -p TCP -j DROP
>#
>$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
>$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
>$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
>$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
>#
>$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
>$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
>#
>$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
>$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
>#
>$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
>#
>$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
>$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT
>#
>$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j
>ACCEPT
>#
>$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
>
>-j ACCEPT
>$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
>$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
>$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
>#
>$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
>
>--log-level DEBUG --log-prefix "IPT INPUT packet died: "
>#
>$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
>#
>$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
>$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>#
>$IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
>$IPTABLES -A FORWARD --protocol tcp --destination $INET_IP --destination-port 25 -j ACCEPT
>#
>$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
>
>--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
>#
>$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
>#
>$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
>$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
>$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
>#
>$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
>
>--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
>$IPTABLES  -A PREROUTING -t nat --protocol tcp --destination $INET_IP --destination-port 25
>\
>-j DNAT --to-destination 192.168.2.1
>#
>$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
>#
>
>
>я коментарии убрал чтоб поменьше было

1. У тебя пакеты в обе стороны не пропускаются!

IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
Это внутрь.
А как у тебя выпускается трафик я не вижу.
Надо добавить
IPTABLES -A FORWARD --protocol tcp -s 192.168.2.1 --sport 25 -j ACCEPT

"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 19-Янв-05 15:38 
>1. У тебя пакеты в обе стороны не пропускаются!
>
>IPTABLES -A FORWARD --protocol tcp --destination 192.168.2.1 --destination-port 25 -j ACCEPT
>Это внутрь.
>А как у тебя выпускается трафик я не вижу.
>Надо добавить
>IPTABLES -A FORWARD --protocol tcp -s 192.168.2.1 --sport 25 -j ACCEPT

Добавил непомогло !
:о(

"Помогите разобраться почему неработает мапинг"
Отправлено _KAV_ , 19-Янв-05 15:42 
Мдя... Андерссона читать, конечно, нужно - но его скрипты копировать не стоит.
Ты дописываешь это в конце - у тебя, похоже, эти пакеты дропаются впередистоящими правилами - пакет уходит в цепочку и не доходит до правила.
Включи логирование пакетов и смотри
"Помогите разобраться почему неработает мапинг"
Отправлено Qtronix , 19-Янв-05 18:10 
>Мдя... Андерссона читать, конечно, нужно - но его скрипты копировать не стоит.
>
>Ты дописываешь это в конце - у тебя, похоже, эти пакеты дропаются
>впередистоящими правилами - пакет уходит в цепочку и не доходит до
>правила.
>Включи логирование пакетов и смотри

я конечно дико извиняюсь и прошу меня ногами не пинать
просто я выше писал уже что я в IPTables не силен и если честно и в линухе тоже не гуру, тобиш знаю только то что знаю а шаг в право шаг в лево для меня равносилен шагу в пропость :о(
но я быстро учусь :о)

"Помогите разобраться почему неработает мапинг"
Отправлено _KAV_ , 19-Янв-05 18:38 
>
>я конечно дико извиняюсь и прошу меня ногами не пинать
>просто я выше писал уже что я в IPTables не силен и
>если честно и в линухе тоже не гуру, тобиш знаю только
>то что знаю а шаг в право шаг в лево для
>меня равносилен шагу в пропость :о(
>но я быстро учусь :о)

Разговор затягивается... ломись ко мне в асю 35-185-841, ибо из этого скрипта уже все понятно - нечего народу глаза мозолить

"Помогите разобраться почему неработает мапинг"
Отправлено formatc , 25-Янв-05 11:40 
>>Мдя... Андерссона читать, конечно, нужно - но его скрипты копировать не стоит.
>>
>>Ты дописываешь это в конце - у тебя, похоже, эти пакеты дропаются
>>впередистоящими правилами - пакет уходит в цепочку и не доходит до
>>правила.
>>Включи логирование пакетов и смотри
>
>я конечно дико извиняюсь и прошу меня ногами не пинать
>просто я выше писал уже что я в IPTables не силен и
>если честно и в линухе тоже не гуру, тобиш знаю только
>то что знаю а шаг в право шаг в лево для
>меня равносилен шагу в пропость :о(
>но я быстро учусь :о)

у меня это работает :
192.168.168.100.20 смотрит в инет
10.0.0.2 почтовик в веб доступом

[0:0] -A PREROUTING -d 192.168.100.20 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.2
[0:0] -A PREROUTING -d 192.168.100.20 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.0.0.2
[13:660] -A PREROUTING -d 192.168.100.20 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.0.0.2
[742:42012] -A POSTROUTING -o eth0 -p tcp -j SNAT --to-source 192.168.100.20
[0:0] -A POSTROUTING -o eth0 -p icmp -j SNAT --to-source 192.168.100.20