помогите определить где ошибка, провавйдер говорит что через меня пересылается спам!!!
почтовый сервер на серваке не установлен, почту клиенты получают с удалённого сервера, как прописать что бы почту могли отправлять и получать только определёные IPэто мой файл маскарад
#!/bin/bashIPTABLES='/sbin/iptables'
EXTIF='eth0'
INTIF_1='eth1'
INTIF_2='eth2'
INTIF_3='eth3'
#Форвардинг в ядре
echo 1 > /proc/sys/net/ipv4/ip_forward#Сброс и удаление всех цепочек
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X#Маскарадинг
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE#форвардинг
$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT#Пускаем на SSH с наружи
$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT#$IPTABLES -A INPUT --protocol tcp --dport 1433 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 21 -j ACCEPT$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
#проброс порта сквида
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port 3128#Все остальное убиваем
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP
в iptables не силен но если пользователь работает через nat то фактически каждый пользователь может отправлять почту на любой сервер. вирусы именно это и делают :)
>помогите определить где ошибка, провавйдер говорит что через меня пересылается спам!!!
>почтовый сервер на серваке не установлен, почту клиенты получают с удалённого сервера,
>как прописать что бы почту могли отправлять и получать только определёные
>IP
>
>это мой файл маскарад
>#!/bin/bash
>
>IPTABLES='/sbin/iptables'
>
>EXTIF='eth0'
>INTIF_1='eth1'
>INTIF_2='eth2'
>INTIF_3='eth3'
>#Форвардинг в ядре
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
>#Сброс и удаление всех цепочек
>$IPTABLES -F
>$IPTABLES -X
>$IPTABLES -t nat -F
>$IPTABLES -t nat -X
>
>#Маскарадинг
>$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>
>#форвардинг
>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>
>#Пускаем на SSH с наружи
>$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT
>
>
>
>#$IPTABLES -A INPUT --protocol tcp --dport 1433 -j ACCEPT
>
>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>
>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>#проброс порта сквида
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port
>3128
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port
>3128
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port
>3128
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port
>3128
>
>#Все остальное убиваем
>$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
>$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROPВот так примерно
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j DROP
Эта цепочка убъет все пакеты идущие через твою машину с интерфейса $INTIF на $EXTIF от адреса $INT_IP на порт 25, то есть это запрещение конкретных адресов
Если хочешь разрешить комуто, а остальных отрубить, то тогда тебе надо
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j DROP
тут важна последовательность, сначала разрешил, а потом запретил, правила применятся по порядку, что выше то имеет больший вес.
Тут соттветственно INT_IP пройдет, а все остальное DROP25 порт это отправка почты, если чтоб и не получали тоды надо 110 еще рубить.
>>помогите определить где ошибка, провавйдер говорит что через меня пересылается спам!!!
>>почтовый сервер на серваке не установлен, почту клиенты получают с удалённого сервера,
>>как прописать что бы почту могли отправлять и получать только определёные
>>IP
>>
>>это мой файл маскарад
>>#!/bin/bash
>>
>>IPTABLES='/sbin/iptables'
>>
>>EXTIF='eth0'
>>INTIF_1='eth1'
>>INTIF_2='eth2'
>>INTIF_3='eth3'
>>#Форвардинг в ядре
>>echo 1 > /proc/sys/net/ipv4/ip_forward
>>
>>#Сброс и удаление всех цепочек
>>$IPTABLES -F
>>$IPTABLES -X
>>$IPTABLES -t nat -F
>>$IPTABLES -t nat -X
>>
>>#Маскарадинг
>>$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>>
>>#форвардинг
>>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>
>>#Пускаем на SSH с наружи
>>$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT
>>
>>
>>
>>#$IPTABLES -A INPUT --protocol tcp --dport 1433 -j ACCEPT
>>
>>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>>
>>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>>#проброс порта сквида
>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port
>>3128
>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port
>>3128
>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port
>>3128
>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port
>>3128
>>
>>#Все остальное убиваем
>>$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
>>$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP
>
>Вот так примерно
>
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>25 -j DROP
>
>Эта цепочка убъет все пакеты идущие через твою машину с интерфейса $INTIF
>на $EXTIF от адреса $INT_IP на порт 25, то есть это
>запрещение конкретных адресов
>
>Если хочешь разрешить комуто, а остальных отрубить, то тогда тебе надо
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>DROP
>тут важна последовательность, сначала разрешил, а потом запретил, правила применятся по порядку,
>что выше то имеет больший вес.
>Тут соттветственно INT_IP пройдет, а все остальное DROP
>
>25 порт это отправка почты, если чтоб и не получали тоды надо
>110 еще рубить.тоесть если я пропишу так
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j DROPкак я понимаю только определённый машины смогут отправлять почту
а как приписать айпи кто может отправлять почту???
>тоесть если я пропишу так
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>DROP
>
>как я понимаю только определённый машины смогут отправлять почту
>а как приписать айпи кто может отправлять почту???в начале пишешь
EXTIF="192.168.0.1/24"или если понятней
EXTIF="192.168.0.1/255.255.255.0"
либо можно прям в цепочке
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>25 -j ACCEPT
>>тоесть если я пропишу так
>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>>25 -j ACCEPT
>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>>DROP
>>
>>как я понимаю только определённый машины смогут отправлять почту
>>а как приписать айпи кто может отправлять почту???
>
>в начале пишешь
>EXTIF="192.168.0.1/24"
>
>или если понятней
>
>EXTIF="192.168.0.1/255.255.255.0"
>
>либо можно прям в цепочке
>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>>25 -j ACCEPT
чо то не одно из этих правил непомогает!!!
сделай
tcpdump -n -i ethХ dst port 25 >/cpam.txtethX - интерфейс с локалкой
оставь этот процесс на определённое время,
потом анализируй с какой машины сколько уходит
почты, делай выводы, принимай меры
>>>тоесть если я пропишу так
>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>>>25 -j ACCEPT
>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>>>DROP
>>>
>>>как я понимаю только определённый машины смогут отправлять почту
>>>а как приписать айпи кто может отправлять почту???
>>
>>в начале пишешь
>>EXTIF="192.168.0.1/24"
>>
>>или если понятней
>>
>>EXTIF="192.168.0.1/255.255.255.0"
>>
>>либо можно прям в цепочке
>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>>>25 -j ACCEPT
>
>
>чо то не одно из этих правил непомогает!!!А ты такие цепочки для всех своих внутренних подсетей прописал ?
У тебя 3 подсети внутренние, я же тебе пример написал.
Чтоб работало надо написать,ля всех
INTIF_1='eth1'
INTIF_2='eth2'
INTIF_3='eth3'Потом к примеру надо пускать
#С первой подсети
INT_1_IP_1="192.168.0.10"
INT_1_IP_2="192.168.0.11"#Со второй
INT_2_IP_1="192.168.1.30"#С третьй
INT_3_IP_1="192.168.2.50"
#А потом для каждого
# Для первой подсети 2 адреса разрешили$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport 25 -j ACCEPT#Остальное для первой убили
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j DROP# Для второй
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j DROP#Для третьей
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j DROPВот так должно заработать
Вообще есть чудо статья по iptables http://www.opennet.me/docs/RUS/iptables/
>>>>тоесть если я пропишу так
>>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>>>>25 -j ACCEPT
>>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>>>>DROP
>>>>
>>>>как я понимаю только определённый машины смогут отправлять почту
>>>>а как приписать айпи кто может отправлять почту???
>>>
>>>в начале пишешь
>>>EXTIF="192.168.0.1/24"
>>>
>>>или если понятней
>>>
>>>EXTIF="192.168.0.1/255.255.255.0"
>>>
>>>либо можно прям в цепочке
>>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>>>>25 -j ACCEPT
>>
>>
>>чо то не одно из этих правил непомогает!!!
>
>А ты такие цепочки для всех своих внутренних подсетей прописал ?
>У тебя 3 подсети внутренние, я же тебе пример написал.
>Чтоб работало надо написать,ля всех
>INTIF_1='eth1'
>INTIF_2='eth2'
>INTIF_3='eth3'
>
>Потом к примеру надо пускать
>#С первой подсети
>INT_1_IP_1="192.168.0.10"
>INT_1_IP_2="192.168.0.11"
>
>#Со второй
>INT_2_IP_1="192.168.1.30"
>
>#С третьй
>
>INT_3_IP_1="192.168.2.50"
>
>#А потом для каждого
># Для первой подсети 2 адреса разрешили
>
>$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport
>25 -j ACCEPT
>
>#Остальное для первой убили
>$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j
>DROP
>
># Для второй
>$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j
>DROP
>
>#Для третьей
>$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j
>DROP
>
>Вот так должно заработать
>Вообще есть чудо статья по iptables http://www.opennet.me/docs/RUS/iptables/
прописал всё как ты написал, почта всеровно уходит!!!
>прописал всё как ты написал, почта всеровно уходит!!!Сделай
iptables -L -v -n
и на всяк случай iptables -L -v -n -t natвыложи что получилось, посмотрим.
>
>>прописал всё как ты написал, почта всеровно уходит!!!
>
>Сделай
>iptables -L -v -n
>и на всяк случай iptables -L -v -n -t nat
>
>выложи что получилось, посмотрим.[root@]# iptables -L -v -n
Chain INPUT (policy ACCEPT 135K packets, 30M bytes)
pkts bytes target prot opt in out source destination
466 37652 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- eth3 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
0 0 ACCEPT tcp -- eth3 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 DROP all -- eth0 * 62.141.50.175 0.0.0.0/0
0 0 DROP all -- eth0 * 66.103.134.9 0.0.0.0/0
0 0 DROP all -- eth0 * 82.195.132.245 0.0.0.0/0
0 0 DROP all -- eth0 * 82.159.86.238 0.0.0.0/0
0 0 DROP all -- eth0 * 218.228.80.254 0.0.0.0/0
0 0 DROP all -- eth0 * 61.211.237.180 0.0.0.0/0
0 0 DROP all -- eth0 * 63.204.205.245 0.0.0.0/0
0 0 DROP all -- eth0 * 66.201.244.225 0.0.0.0/0
0 0 DROP all -- eth0 * 67.69.105.30 0.0.0.0/0
0 0 DROP all -- eth0 * 61.211.237.180 0.0.0.0/0
0 0 DROP all -- eth0 * 203.144.229.199 0.0.0.0/0
0 0 DROP all -- eth0 * 59.42.83.204 0.0.0.0/0
0 0 DROP all -- eth0 * 61.129.117.112 0.0.0.0/0
0 0 DROP all -- eth0 * 220.119.33.251 0.0.0.0/0
0 0 DROP all -- eth0 * 61.95.194.109 0.0.0.0/0
0 0 DROP all -- eth0 * 222.112.249.123 0.0.0.0/0
0 0 DROP all -- eth0 * 80.100.232.9 0.0.0.0/0
0 0 DROP all -- eth0 * 202.39.97.140 0.0.0.0/0
0 0 DROP all -- eth0 * 83.246.118.252 0.0.0.0/0
0 0 DROP all -- eth0 * 66.236.238.4 0.0.0.0/0
0 0 DROP all -- eth0 * 211.176.61.119 0.0.0.0/0
0 0 DROP all -- eth0 * 202.177.184.40 0.0.0.0/0
0 0 DROP all -- eth0 * 202.63.192.13 0.0.0.0/0
0 0 DROP all -- eth0 * 83.246.118.252 0.0.0.0/0
0 0 DROP all -- eth0 * 194.126.99.220 0.0.0.0/0
0 0 DROP all -- eth0 * 210.244.225.13 0.0.0.0/0
0 0 DROP all -- eth0 * 66.236.238.4 0.0.0.0/0
0 0 DROP all -- eth0 * 64.58.144.44 0.0.0.0/0
0 0 DROP all -- eth0 * 210.114.174.177 0.0.0.0/0
0 0 DROP all -- eth0 * 65.19.155.219 0.0.0.0/0
0 0 DROP all -- eth0 * 195.114.174.177 0.0.0.0/0
0 0 DROP all -- eth0 * 211.238.253.248 0.0.0.0/0
0 0 DROP all -- eth0 * 84.37.11.11 0.0.0.0/0
0 0 DROP all -- eth0 * 200.215.61.6 0.0.0.0/0
0 0 DROP all -- eth0 * 59.36.96.101 0.0.0.0/0
0 0 DROP all -- eth0 * 210.123.71.5 0.0.0.0/0
0 0 DROP all -- eth0 * 60.28.9.143 0.0.0.0/0
0 0 DROP all -- eth0 * 212.113.123.130 0.0.0.0/0
0 0 DROP all -- eth0 * 210.6.101.220 0.0.0.0/0
0 0 DROP all -- eth0 * 207.203.211.140 0.0.0.0/0
0 0 DROP all -- eth0 * 222.82.253.178 0.0.0.0/0
0 0 DROP all -- eth0 * 66.14.62.125 0.0.0.0/0
0 0 DROP all -- eth0 * 203.207.224.67 0.0.0.0/0
0 0 DROP all -- eth0 * 83.167.5.158 0.0.0.0/0
0 0 DROP all -- eth0 * 209.164.117.32 0.0.0.0/0
0 0 DROP all -- eth0 * 202.131.114.112 0.0.0.0/0
0 0 DROP all -- eth0 * 83.206.167.193 0.0.0.0/0
0 0 DROP all -- eth0 * 202.232.130.80 0.0.0.0/0
0 0 DROP all -- eth0 * 66.44.210.252 0.0.0.0/0
0 0 DROP all -- eth0 * 221.154.250.38 0.0.0.0/0
0 0 DROP all -- eth0 * 210.21.234.11 0.0.0.0/0
0 0 DROP all -- eth0 * 84.19.186.36 0.0.0.0/0
0 0 DROP all -- eth0 * 218.1.65.233 0.0.0.0/0
0 0 DROP all -- eth0 * 67.138.80.15 0.0.0.0/0
0 0 DROP all -- eth0 * 213.168.177.20 0.0.0.0/0
0 0 DROP all -- eth0 * 201.6.101.230 0.0.0.0/0
0 0 DROP all -- eth0 * 60.28.9.243 0.0.0.0/0
0 0 DROP all -- eth0 * 212.133.123.130 0.0.0.0/0
0 0 DROP all -- eth0 * 201.113.123.130 0.0.0.0/0
0 0 DROP all -- eth0 * 204.155.67.192 0.0.0.0/0
0 0 DROP all -- eth0 * 200.203.162.185 0.0.0.0/0
0 0 DROP all -- eth0 * 222.185.245.208 0.0.0.0/0
0 0 DROP all -- eth0 * 211.224.60.21 0.0.0.0/0
0 0 DROP all -- eth0 * 218.22.8.59 0.0.0.0/0
0 0 DROP all -- eth0 * 202.108.40.59 0.0.0.0/0
0 0 DROP all -- eth0 * 213.169.137.62 0.0.0.0/0
0 0 DROP all -- eth0 * 58.94.4.28 0.0.0.0/0
0 0 DROP all -- eth0 * 4.18.44.59 0.0.0.0/0
0 0 DROP all -- eth0 * 200.96.178.100 0.0.0.0/0
0 0 DROP all -- eth0 * 218.62.27.125 0.0.0.0/0
0 0 DROP all -- eth0 * 61.220.36.148 0.0.0.0/0
0 0 DROP all -- eth0 * 195.136.49.178 0.0.0.0/0
0 0 DROP all -- eth0 * 211.231.62.131 0.0.0.0/0
0 0 DROP all -- eth0 * 213.202.214.51 0.0.0.0/0
0 0 DROP all -- eth0 * 64.182.37.226 0.0.0.0/0
0 0 DROP all -- eth0 * 88.214.86.118 0.0.0.0/0
0 0 DROP all -- eth0 * 69.90.30.227 0.0.0.0/0
0 0 DROP all -- eth0 * 82.165.175.220 0.0.0.0/0
0 0 DROP all -- eth0 * 82.207.62.50 0.0.0.0/0
0 0 DROP all -- eth0 * 222.45.29.200 0.0.0.0/0
0 0 DROP all -- eth0 * 202.155.214.169 0.0.0.0/0
0 0 DROP all -- eth0 * 61.107.94.199 0.0.0.0/0
0 0 DROP all -- eth0 * 60.190.78.94 0.0.0.0/0
0 0 DROP all -- eth0 * 59.77.6.195 0.0.0.0/0
0 0 DROP all -- eth0 * 125.95.18.34 0.0.0.0/0
0 0 DROP all -- eth0 * 193.41.88.2 0.0.0.0/0
0 0 DROP all -- eth0 * 212.40.43.122 0.0.0.0/0
0 0 DROP all -- eth0 * 203.155.165.85 0.0.0.0/0
0 0 DROP all -- eth0 * 80.97.64.181 0.0.0.0/0
0 0 DROP all -- eth0 * 202.127.0.66 0.0.0.0/0
0 0 DROP all -- eth0 * 212.251.120.94 0.0.0.0/0
0 0 DROP all -- eth0 * 60.48.26.206 0.0.0.0/0
0 0 DROP all -- eth0 * 206.137.17.223 0.0.0.0/0
0 0 DROP all -- eth0 * 81.19.44.2 0.0.0.0/0
0 0 DROP all -- eth0 * 80.97.64.181 0.0.0.0/0
0 0 DROP all -- eth0 * 61.34.255.81 0.0.0.0/0
0 0 DROP all -- eth0 * 60.48.26.206 0.0.0.0/0
0 0 DROP all -- eth0 * 202.69.217.114 0.0.0.0/0
0 0 DROP all -- eth0 * 69.72.217.234 0.0.0.0/0
0 0 DROP all -- eth0 * 216.152.252.155 0.0.0.0/0
0 0 DROP all -- eth0 * 212.50.9.253 0.0.0.0/0
0 0 DROP all -- eth0 * 211.23.174.171 0.0.0.0/0
0 0 DROP all -- eth0 * 124.2.175.15 0.0.0.0/0
0 0 DROP all -- eth0 * 83.19.44.26 0.0.0.0/0
0 0 DROP all -- eth0 * 62.117.126.220 0.0.0.0/0
0 0 DROP all -- eth0 * 218.249.36.56 0.0.0.0/0
0 0 DROP all -- eth0 * 211.170.242.10 0.0.0.0/0
0 0 DROP all -- eth0 * 218.7.13.215 0.0.0.0/0
0 0 DROP all -- eth0 * 212.50.9.253 0.0.0.0/0
0 0 DROP all -- eth0 * 211.23.174.171 0.0.0.0/0
0 0 DROP all -- eth0 * 222.234.2.86 0.0.0.0/0
0 0 DROP all -- eth0 * 59.41.39.115 0.0.0.0/0
0 0 DROP all -- eth0 * 218.25.62.92 0.0.0.0/0
0 0 DROP all -- eth0 * 213.52.227.121 0.0.0.0/0
0 0 DROP all -- eth0 * 203.158.228.2 0.0.0.0/0
0 0 DROP all -- eth0 * 151.164.60.251 0.0.0.0/0
0 0 DROP all -- eth0 * 222.216.27.40 0.0.0.0/0
0 0 DROP all -- eth0 * 125.241.141.131 0.0.0.0/0
0 0 DROP all -- eth0 * 87.244.192.153 0.0.0.0/0
0 0 DROP all -- eth0 * 61.78.244.88 0.0.0.0/0
0 0 DROP all -- eth0 * 218.12.46.18 0.0.0.0/0
0 0 DROP all -- eth0 * 64.18.194.226 0.0.0.0/0
0 0 DROP all -- eth0 * 193.41.88.2 0.0.0.0/0
2 814 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEWChain FORWARD (policy ACCEPT 44369 packets, 11M bytes)
pkts bytes target prot opt in out source destination
189 10265 ACCEPT all -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
0 0 ACCEPT all -- eth2 eth0 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
8 427 ACCEPT all -- eth3 eth0 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- eth1 eth0 192.168.0.2 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- eth1 eth0 192.168.0.11 0.0.0.0/0 tcp dpt:25
0 0 DROP tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- eth2 eth0 192.168.4.2 0.0.0.0/0 tcp dpt:25
0 0 DROP tcp -- eth2 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- eth3 eth0 192.168.10.222 0.0.0.0/0 tcp dpt:25
0 0 DROP tcp -- eth3 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEWChain OUTPUT (policy ACCEPT 68104 packets, 29M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * eth1 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
0 0 ACCEPT tcp -- * eth1 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- * eth2 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
0 0 ACCEPT tcp -- * eth2 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- * eth3 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
0 0 ACCEPT tcp -- * eth3 0.0.0.0/0 0.0.0.0/0 tcp dpt:21iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 4774 packets, 421K bytes)
pkts bytes target prot opt in out source destination
25 1200 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 redir ports 3128
0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 redir ports 3128
0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8081 redir ports 3128Chain POSTROUTING (policy ACCEPT 24 packets, 1369 bytes)
pkts bytes target prot opt in out source destination
34 1963 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0Chain OUTPUT (policy ACCEPT 2396 packets, 144K bytes)
pkts bytes target prot opt in out source destination
обрати внимание, в цепочке форвард сначало всё разрешено
(зачем это делать если политика по умолчанию ACCEPT)
189 10265 ACCEPT all -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHEDа потом пытаешься дропать
0 0 DROP tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25поменяй правила местами, а лучше удали всё, что ACCEPT
>
>обрати внимание, в цепочке форвард сначало всё разрешено
>(зачем это делать если политика по умолчанию ACCEPT)
>189 10265 ACCEPT all -- eth1
> eth0 0.0.0.0/0
> 0.0.0.0/0
> state NEW,ESTABLISHED
>
>а потом пытаешься дропать
> 0 0 DROP
> tcp -- eth1 eth0
> 0.0.0.0/0
> 0.0.0.0/0
> tcp dpt:25
>
>поменяй правила местами, а лучше удали всё, что ACCEPT
ура работает, всем посибо
я сделал как ты подсказал. поменял местами
######################################################################################
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j DROP
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j DROP
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j DROP######################################################################################
#форвардинг
$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPTя только начинаю осваивать эти таблицы, а что означают последнии 3 строки (форвардинг)
всем посибо
>я только начинаю осваивать эти таблицы, а что означают последнии 3 строки
>(форвардинг)
>всем посибо
>#форвардинг
>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>
>
>>я только начинаю осваивать эти таблицы, а что означают последнии 3 строки
>>(форвардинг)
>>всем посибо
>
>
>>#форвардинг
>>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>ага что это значит?
Упсс!!! блин клавиша интер в ненужный моментпоскольку у вас политика по умолчанию в цепочке
форварда "всё разрешаю", то вносятся правила
только того, что нуна запретить.
привозникновении вопроса попробуйте сначала
поиск, хотябы по этому сайту, вот результат
http://www.opennet.me/docs/RUS/iptables/index.html
>>я только начинаю осваивать эти таблицы, а что означают последнии 3 строки
>>(форвардинг)
>>всем посибо
не совсем понял какие, если те что ниже, то в вашем случае они ни чего не дают>>#форвардинг
>>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
| | | |
входящий исходящий новые установленная
интерфейс интерфейс пакеты связь
>>ACCEPT
|
применяемая политика>>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>