URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93860
[ Назад ]

Исходное сообщение
"Открыть 110 порт"
Отправлено Роман , 02-Окт-12 15:21

Доброго дня!
Помогите пожалуйста, не могу хоть убей открыть снаружи 110 порт, конфиг ниже:
# Generated by iptables-save v1.4.8 on Tue Oct  2 15:18:57 2012
*nat
:PREROUTING ACCEPT [164:10810]
:POSTROUTING ACCEPT [49:2940]
:OUTPUT ACCEPT [49:2940]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.67/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.91/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.203/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.206/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.88/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.43/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.208/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.42/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.62/32 -j SNAT --to-source внешний_ip
-A POSTROUTING -s 192.168.0.251/32 -j SNAT --to-source внешний_ip
COMMIT
# Completed on Tue Oct  2 15:18:57 2012
# Generated by iptables-save v1.4.8 on Tue Oct  2 15:18:57 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [14:877]
:OUTPUT ACCEPT [3308:2496653]
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.67/32 -j ACCEPT
-A FORWARD -s 192.168.0.91/32 -j ACCEPT
-A FORWARD -s 192.168.0.143/32 -j ACCEPT
-A FORWARD -s 192.168.0.203/32 -j ACCEPT
-A FORWARD -s 192.168.0.206/32 -j ACCEPT
-A FORWARD -s 192.168.0.88/32 -j ACCEPT
-A FORWARD -s 192.168.0.43/32 -j ACCEPT
-A FORWARD -s 192.168.0.208/32 -j ACCEPT
-A FORWARD -s 192.168.0.42/32 -j ACCEPT
-A FORWARD -s 192.168.0.62/32 -j ACCEPT
-A FORWARD -s 192.168.0.251/32 -j ACCEPT
COMMIT
# Completed on Tue Oct  2 15:18:57 2012

Содержание

Открыть 110 порт,Andrey Mitrofanov, 15:54 , 02-Окт-12
- Открыть 110 порт,PavelR, 16:35 , 02-Окт-12
Открыть 110 порт,PavelR, 16:42 , 02-Окт-12
- Открыть 110 порт,Роман, 16:57 , 02-Окт-12
  - Открыть 110 порт,Andrey Mitrofanov, 17:16 , 02-Окт-12
    - Открыть 110 порт,Роман, 17:23 , 02-Окт-12
      - Открыть 110 порт,PavelR, 17:36 , 02-Окт-12

Сообщения в этом обсуждении

"Открыть 110 порт"
Отправлено Andrey Mitrofanov , 02-Окт-12 15:54

> Доброго дня!
> Помогите пожалуйста, не могу хоть убей открыть снаружи 110 порт, конфиг ниже:
Конфиг привёл, молодец. Может и найдётся доброхот, который напишет нужные -t nat -A PREROUTING -j DNAT + -t nat -A POSTROUTING -j SNAT, но ... !"№; !!! ...скока ж можно-то?! ...кажную недёлю??!1
Запостите уже iptables tutorial кто-нибудь в Советы, полный текст??

"Открыть 110 порт"
Отправлено PavelR , 02-Окт-12 16:35

>> Доброго дня!
>> Помогите пожалуйста, не могу хоть убей открыть снаружи 110 порт, конфиг ниже:
> Конфиг привёл, молодец. Может и найдётся доброхот, который напишет нужные -t nat
> -A PREROUTING -j DNAT + -t nat -A POSTROUTING -j SNAT,
> но ... !"№; !!! ...скока ж можно-то?! ...кажную недёлю??!1
> Запостите уже iptables tutorial кто-нибудь в Советы, полный текст??
Думаешь поможет?

В Фидо, вроде как, за нечтение факов, "плюсовали". )

"Открыть 110 порт"
Отправлено PavelR , 02-Окт-12 16:42

> Доброго дня!
> Помогите пожалуйста, не могу хоть убей открыть снаружи 110 порт, конфиг ниже:
а что вы таки понимаете под словами "открыть 110 порт"?
Лично у меня есть целых три варианта понимания фразы "открыть порт"
- открыть слушающий сокет порта
- открыть соединение на слушающий сокет порта
- открыть дырку для подобных соединений в файрволле.
Судя по тому, что написано в листингах iptables-save, с пунктом 3 вы вроде-как справились.
Наверное, вам надо подсказать команду "telnet 1.2.3.4 110". Или всё-таки вы почтовый даймон не запустили ? Так эти пункты - оффтопик в разделе "Firewall, Фильтрация пакетов / Linux".
Ну да ладно. Кстати. Не по теме вопроса, а по сути увиденного:

>[оверквотинг удален]
> -A POSTROUTING -s 192.168.0.91/32 -j SNAT --to-source внешний_ip
> -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний_ip
> -A POSTROUTING -s 192.168.0.203/32 -j SNAT --to-source внешний_ip
> -A POSTROUTING -s 192.168.0.206/32 -j SNAT --to-source внешний_ip
> -A POSTROUTING -s 192.168.0.88/32 -j SNAT --to-source внешний_ip
> -A POSTROUTING -s 192.168.0.43/32 -j SNAT --to-source внешний_ip
> -A POSTROUTING -s 192.168.0.208/32 -j SNAT --to-source внешний_ip
> -A POSTROUTING -s 192.168.0.42/32 -j SNAT --to-source внешний_ip
> -A POSTROUTING -s 192.168.0.62/32 -j SNAT --to-source внешний_ip
> -A POSTROUTING -s 192.168.0.251/32 -j SNAT --to-source внешний_ip
Это бред, потому что первое правило и последующие - дублирование. Это раз.
А два: таблица nat не предназначена для "фильтрования", которое вы пытаетесь тут зачем-то изобразить.

"Открыть 110 порт"
Отправлено Роман , 02-Окт-12 16:57

>[оверквотинг удален]
>> -A POSTROUTING -s 192.168.0.206/32 -j SNAT --to-source внешний_ip
>> -A POSTROUTING -s 192.168.0.88/32 -j SNAT --to-source внешний_ip
>> -A POSTROUTING -s 192.168.0.43/32 -j SNAT --to-source внешний_ip
>> -A POSTROUTING -s 192.168.0.208/32 -j SNAT --to-source внешний_ip
>> -A POSTROUTING -s 192.168.0.42/32 -j SNAT --to-source внешний_ip
>> -A POSTROUTING -s 192.168.0.62/32 -j SNAT --to-source внешний_ip
>> -A POSTROUTING -s 192.168.0.251/32 -j SNAT --to-source внешний_ip
> Это бред, потому что первое правило и последующие - дублирование. Это раз.
> А два: таблица nat не предназначена для "фильтрования", которое вы пытаетесь тут
> зачем-то изобразить.
Разобрался, у меня не приходила почта из вне, как писали выше сделал по цепочке PREROUTING, POSTROUTING, FORWARD. А насчет дублированных правил, это все издержки обучения и производства, конфиг буду доводить до ума

"Открыть 110 порт"
Отправлено Andrey Mitrofanov , 02-Окт-12 17:16

> Разобрался, у меня не приходила почта из вне, как писали выше сделал
> по цепочке PREROUTING, POSTROUTING, FORWARD. А насчет дублированных правил, это все
> издержки обучения и производства, конфиг буду доводить до ума
Молодец! //Напиши "Совет" в /tips/ ... А то старожилам -- скучно, а тебе, пока не забыл _первого _раза -- может, и в самый раз?

"Открыть 110 порт"
Отправлено Роман , 02-Окт-12 17:23

>> Разобрался, у меня не приходила почта из вне, как писали выше сделал
>> по цепочке PREROUTING, POSTROUTING, FORWARD. А насчет дублированных правил, это все
>> издержки обучения и производства, конфиг буду доводить до ума
> Молодец! //Напиши "Совет" в /tips/ ... А то старожилам -- скучно, а
> тебе, пока не забыл _первого _раза -- может, и в самый
> раз?
ок, чуть освобожусь напишу

"Открыть 110 порт"
Отправлено PavelR , 02-Окт-12 17:36

>>> Разобрался, у меня не приходила почта из вне, как писали выше сделал
>>> по цепочке PREROUTING, POSTROUTING, FORWARD. А насчет дублированных правил, это все
>>> издержки обучения и производства, конфиг буду доводить до ума
>> Молодец! //Напиши "Совет" в /tips/ ... А то старожилам -- скучно, а
>> тебе, пока не забыл _первого _раза -- может, и в самый
>> раз?
> ок, чуть освобожусь напишу
Свежо предание, да верится с трудом.