URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 65882
[ Назад ]
Исходное сообщение
"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено StopTime , 25-Апр-06 01:52 
*nat
-A PREROUTING -d 192.168.10.25 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 21 -j DROP
-A PREROUTING -s 213.130.19.0/255.255.255.0 -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.10.30
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 20 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j SNAT --to-source $My_IP
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -i ppp0 -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 3130 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 110 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 143 -j DROP
-A INPUT -i ! lo -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.10.25 -i lo -j ACCEPT
-A INPUT -d 192.168.10.255 -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p udp -j udp_packets
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A INPUT -i eth1 -p tcp -j tcp_packets
-A INPUT -i eth1 -p udp -j udp_packets
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died:" --log-level 7
#
-A FORWARD -i eth1 -p tcp -m tcp --dport 135:139 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth1 -s 192.168.10.30 -j ACCEPT
-A FORWARD -i ppp0 -d 192.168.10.30 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died:" --log-level 7
#
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.10.25 -j ACCEPT
#
-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
#
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
#
-A tcp_packets -d $My_IP -i ppp0 -p tcp -m tcp --dport 80 -j DROP
-A tcp_packets -d $My_IP -i ppp0 -p tcp -m tcp --dport 21 -j DROP
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 25 -j allowed
#-A tcp_packets -p tcp -m tcp --dport 113 -j allowed
-A tcp_packets -p tcp -m tcp --dport 110 -j allowed
#-A tcp_packets -p tcp -m tcp --dport 143 -j allowed
-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
-A tcp_packets -p tcp -m tcp --dport 3128 -j allowed
-A tcp_packets -p tcp -m tcp --dport 3306 -j allowed
-A tcp_packets -p tcp -m tcp --dport 3389 -j allowed
#-A tcp_packets -p tcp -m tcp --dport 1025:65000 -j allowed
#-A tcp_packets -p tcp -m tcp --dport 1080 -j allowed
#
#-A udp_packets -p udp -m udp --dport 1080 -j ACCEPT
-A udp_packets -p udp -m udp --dport 21 -j ACCEPT
-A udp_packets -p udp -m udp --dport 3306 -j ACCEPT
-A udp_packets -p udp -m udp --dport 53 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 137:139 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 123 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 2074 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 4000 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 1025:65000 -j ACCEPT
#-A udp_packets -d 213.227.254.255 -i eth0 -p udp -m udp --dport 137:139 -j DROP
#-A udp_packets -d 255.255.255.255 -i eth0 -p udp -m udp --dport 67:68 -j DROP
COMMIT

Собственно  ppp0 смотрит в Инет
конечно конфиг корявый, но может кто подскажет почему если я проверяю снаружи 25 порт не отображается.

Содержание
Сообщения в этом обсуждении
"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено ru , 25-Апр-06 01:57 
Если я правильно понял то почтовый сервак у тебя в локалке ???
тогда нуно правило типа
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 25 -j DNAT --to-destination "ip твоего почтовика"
"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено StopTime , 25-Апр-06 02:18 
>Если я правильно понял то почтовый сервак у тебя в локалке ???
>
>тогда нуно правило типа
>-A PREROUTING -i ppp0 -p tcp -m tcp --dport 25 -j DNAT
>--to-destination "ip твоего почтовика"

Почтовик сидит на шлюзе, почта по локалке ходит нормально и в сеть уходит нормально, а вот обратно пишет

This is the mPOP.Fallback_MX program at host mx4.mail.ru.
I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.
For further assistance, please send mail to <postmaster>
If you do so, please include this problem report. You can
delete your own text from the message returned below.
   The mPOP.Fallback_MX program
<любой мой почтовый адресс>: connect to
    мой домен [мой реайлный айпишник]: Operation timed out

да и снаружи 25 порт не видно, проверял.
когда 22 порт открывал просто добавил в цепочку инпут правило и все заработало, а вот с 25 таже процедура ничего не дала.

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено ru , 25-Апр-06 02:59 
Просто у тебя почтовый сервис sendmail или еще что к ppp0 25 не привязан
вот и все
"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено StopTime , 25-Апр-06 03:03 
>Просто у тебя почтовый сервис sendmail или еще что к ppp0 25
>не привязан
>вот и все
Вполне возможно я сним не очень дружу и его настраивал другой чел, который к сожалению в отпуске, может поскажет где это поикать можно?

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено ru , 25-Апр-06 03:49 
Блин если сендмаил то поищи на этом сайте
я его тоже не юзаю на вскидку не скажу.

попробуй так
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 25 -j DNAT --to-destination "ip интерфеса котоорый в локалку смотрит"

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено limp0p0 , 25-Апр-06 09:22 
>>Просто у тебя почтовый сервис sendmail или еще что к ppp0 25
>>не привязан
>>вот и все
>Вполне возможно я сним не очень дружу и его настраивал другой чел,
>который к сожалению в отпуске, может поскажет где это поикать можно?
>
netstat -antup    v studiju :)

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено limp0p0 , 25-Апр-06 09:25 
>>>Просто у тебя почтовый сервис sendmail или еще что к ppp0 25
>>>не привязан
>>>вот и все
>>Вполне возможно я сним не очень дружу и его настраивал другой чел,
>>который к сожалению в отпуске, может поскажет где это поикать можно?
>>
>netstat -antup    v studiju :)

tochneje  luche netstat -antup|grep LISTEN

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено StopTime , 25-Апр-06 11:07 
>tochneje  luche netstat -antup|grep LISTEN

tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN 768/rpc.statd
tcp 0 0 127.0.0.1:32769 0.0.0.0:* LISTEN 916/xinetd
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 916/xinetd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1138/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 932/sendmail: accep
tcp 0 0 127.0.0.1:3310 0.0.0.0:* LISTEN 1112/clamd
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 916/xinetd
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 916/xinetd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 749/portmap
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1140/httpd
tcp 0 0 192.168.10.25:53 0.0.0.0:* LISTEN 885/named
tcp 0 0 213.227.252.95:53 0.0.0.0:* LISTEN 885/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 885/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 902/sshd
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 1072/(squid)
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 932/sendmail: accep
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 885/named

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено sn , 25-Апр-06 11:32 

...
>*filter
>:INPUT DROP [0:0]

попробуй поставить
:INPUT ACCEPT [0:0]

...
>-A INPUT -i eth1 -p icmp -j icmp_packets
>-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
>-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT
>INPUT packet died:" --log-level 7

а здесь добавить
-A INPUT -j DROP

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено StopTime , 25-Апр-06 12:48 
>
>...
>>*filter
>>:INPUT DROP [0:0]
>
>попробуй поставить
>:INPUT ACCEPT [0:0]
>
>...
>>-A INPUT -i eth1 -p icmp -j icmp_packets
>>-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
>>-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT
>>INPUT packet died:" --log-level 7
>
>а здесь добавить
>-A INPUT -j DROP

Не помогло, в принципе тож самое. Почтовик смотрит все интерфейсы это по нетстату видно, так шо проблемма с фаерволом, почему записи
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
ему не хватает понять не могу

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено ru , 25-Апр-06 13:34 
Если есть у тебя машина с другим реальным ip
попробуй telnet (ip ppp0) 25 если приглашения
почтовика есть то iptables тут не приделах
Проблема скорее всего в sendmail  
"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено limp0p0 , 25-Апр-06 18:31 
>>
>>...
>>>*filter
>>>:INPUT DROP [0:0]
>>
>>попробуй поставить
>>:INPUT ACCEPT [0:0]
>>
>>...
>>>-A INPUT -i eth1 -p icmp -j icmp_packets
>>>-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
>>>-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT
>>>INPUT packet died:" --log-level 7
>>
>>а здесь добавить
>>-A INPUT -j DROP
>
>Не помогло, в принципе тож самое. Почтовик смотрит все интерфейсы это по
>нетстату видно, так шо проблемма с фаерволом, почему записи
>-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
>
>ему не хватает понять не могу

samyj prostoj variant otkliuchit firewall i  sledovat rekomendacijam ru, to est telnetom s drugogo vneshnego ip adresa poprobovat podkliuchitsia k 25 portu.

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено Gennadi , 25-Апр-06 20:49 
>>>
>>>...
>>>>*filter
>>>>:INPUT DROP [0:0]
>>>
>>>попробуй поставить
>>>:INPUT ACCEPT [0:0]
>>>
>>>...
>>>>-A INPUT -i eth1 -p icmp -j icmp_packets
>>>>-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
>>>>-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT
>>>>INPUT packet died:" --log-level 7
>>>
>>>а здесь добавить
>>>-A INPUT -j DROP
>>
>>Не помогло, в принципе тож самое. Почтовик смотрит все интерфейсы это по
>>нетстату видно, так шо проблемма с фаерволом, почему записи
>>-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
>>
>>ему не хватает понять не могу
>
>samyj prostoj variant otkliuchit firewall i  sledovat rekomendacijam ru, to est
>telnetom s drugogo vneshnego ip adresa poprobovat podkliuchitsia k 25 portu.
>

http://gennadi.dyn.ee/21.html

"туплю Iptables не пропускает из нета к почтовому серваку "
Отправлено Gennadi , 25-Апр-06 23:40 

>http://gennadi.dyn.ee/21.html

# SMTP
echo -n "Port for SMTP..."
iptables -A INPUT -i $EXTIF -m state --state NEW -p tcp --dport 25 -j ACCEPT
echo "done!"