Доброго дня!
Конфиг:
eth0 - внешний
eth1 - внутренний
84.54.1.1 - внешний IP
84.54.1.2 - необходимый почтовый сервер в инете (реально отличается от моего внешнего айпишника только последней цифрой)
192.168.0.143 - клиент в локалке
Ситуация такая:
На все сервера, которые я только смог вспомнить, telnet на pop и smtp из локалки проходит без проблем, но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает.
Попросил товарища проверить этот почтовик, у него все отрабатывает, значит где то затык у меня.
Прошу помощи, так как моих мозгов уже не хватает.
Конфиг iptables:*filter
:INPUT DROP [0:0]
:FORWARD DROP [1:71]
:OUTPUT ACCEPT [115:40047]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth0 -p udp -m multiport --dports 25,110 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.143/32 -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT*nat
:PREROUTING ACCEPT [254:17252]
:POSTROUTING ACCEPT [88:5280]
:OUTPUT ACCEPT [88:5280]
-A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.67
-A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.67
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source 84.54.1.1
-A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 110 -j SNAT --to-source 84.54.1.1
-A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 25 -j SNAT --to-source 84.54.1.1
COMMIT
>[оверквотинг удален]
> *filter
> :INPUT DROP [0:0]
> :FORWARD DROP [1:71]
> :OUTPUT ACCEPT [115:40047]
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -i lo -j ACCEPT
> -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
> -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -s 192.168.0.0/24 -i eth0 -p udp -m multiport --dports 25,110
> -j ACCEPTэто ^^^ чито?
> -A INPUT -s 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 25,110
> -j ACCEPTтак
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 25 -j ACCEPT
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 110 -j ACCEPTэто ^^^ зачем если ранее дано разрешение для всей сети?
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 465 -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 995 -j ACCEPTопять ниже непонятно зачем
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 25 -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 110 -j ACCEPT^^^вот досюда
> -A FORWARD -s 192.168.0.143/32 -j ACCEPT
> -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPTэто ^^^ зачем если полиси ACCEPT?
> COMMIT
> *nat
> :PREROUTING ACCEPT [254:17252]
> :POSTROUTING ACCEPT [88:5280]
> :OUTPUT ACCEPT [88:5280]
> -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 110 -j DNAT
> --to-destination 192.168.0.67
> -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 25 -j DNAT
> --to-destination 192.168.0.67эти убрать и поставить xinetd с редиректом., соответственно их в input'е открыть.
> -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADEмаскарад -- это такой SNAT, который натит в зависимости от текущего деволт-маршрута.
> -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source 84.54.1.1
> -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 110 -j SNAT
> --to-source 84.54.1.1
> -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 25 -j SNAT
> --to-source 84.54.1.1вот ^^^^вообще всё убрать и добавить
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 84.54.1.1
> COMMITдля решения задачки не хватает
ip ro sh
ip ru sh
ip a sh dev eth0
ip a sh dev eth1
> для решения задачки не хватает
> ip ro sh
> ip ru sh
> ip a sh dev eth0
> ip a sh dev eth1ip ro sh
84.54.1.0/24 dev eth0 proto kernel scope link src 84.54.1.1
192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.40
default via 84.54.1.4 dev eth0ip ru sh
0: from all lookup local
32766: from all lookup main
32767: from all lookup defaultip a sh dev eth0
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:80:48:18:34:db brd ff:ff:ff:ff:ff:ff
inet 84.54.1.1/24 brd 84.54.1.255 scope global eth0
inet6 fe80::280:48ff:fe18:34db/64 scope link
valid_lft forever preferred_lft foreverip a sh dev eth1
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether d0:27:88:37:98:7c brd ff:ff:ff:ff:ff:ff
inet 192.168.0.40/24 brd 192.168.0.255 scope global eth1
inet6 fe80::d227:88ff:fe37:987c/64 scope link
valid_lft forever preferred_lft forever
>[оверквотинг удален]
> link/ether 00:80:48:18:34:db brd ff:ff:ff:ff:ff:ff
> inet 84.54.1.1/24 brd 84.54.208.255 scope global eth0
> inet6 fe80::280:48ff:fe18:34db/64 scope link
> valid_lft forever preferred_lft forever
> ip a sh dev eth1
> 2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
> link/ether d0:27:88:37:98:7c brd ff:ff:ff:ff:ff:ff
> inet 192.168.0.40/24 brd 192.168.0.255 scope global eth1
> inet6 fe80::d227:88ff:fe37:987c/64 scope link
> valid_lft forever preferred_lft foreverпочему проходиться втягивать?
вы правила netfilter'а поправили? как они теперь выглядят? iptables-save не соизволите?
arp -an 84.54.1.2 тоже будте добры.
> почему проходиться втягивать?
> вы правила netfilter'а поправили? как они теперь выглядят? iptables-save не соизволите?
> arp -an 84.54.1.2 тоже будте добры.нет, правила еще правлю, боюсь накосячить, так как приходится работать на "горячую".
arp -an 84.54.1.2
arp: in 59 entries no match found.
iptables-save не соизволите?
*filter
:INPUT DROP [0:0]
:FORWARD DROP [1:71]
:OUTPUT ACCEPT [115:40047]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.143/32 -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [254:17252]
:POSTROUTING ACCEPT [88:5280]
:OUTPUT ACCEPT [88:5280]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 84.54.1.1
COMMITЕсли убираю эти 2 строчки, то почтовые клиенты снаружи не работают, уже проверял:
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
>[оверквотинг удален]
> --dport 110 -j ACCEPT
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.0.143/32 -j ACCEPT
> -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
> COMMIT
> *nat
> :PREROUTING ACCEPT [254:17252]
> :POSTROUTING ACCEPT [88:5280]
> :OUTPUT ACCEPT [88:5280]
> -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADEэто и то, что ниже выполняет одну и ту-же функцию, поэтому стоит определиться или/или
>[оверквотинг удален]
> COMMIT
> Если убираю эти 2 строчки, то почтовые клиенты снаружи не работают, уже
> проверял:
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 25 -j ACCEPT
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 110 -j ACCEPT
>нет, правила еще правлю, боюсь накосячить, так как приходится работать на "горячую".
>arp -an 84.54.1.2
>arp: in 59 entries no match found.отвечаю на оба
во первых учитывая вашу сеть на eth1, данный 84.54.1.2 ip должен быть доступен пл ARP'у, раз arp-записи не имеется - соответственно хост не доступен.
2.
почтовые клиенты снаружи недоступны совершенно правильно -- т.к. в моём предложении было убрать DNAT и за место него поставить xinetd.
выводы.
1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя правила файрвола
2. добиться чтобы сервер в локальной фактически сети был таки доступен.
3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать DNAT+правило в цепочке FORWARD.изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2, это говорит о том, что либо сеть на вашей машине установлена не верно, либо хост 84.54.1.2 думает что он в другой сети или одно из двух (не считая конечно общей вашей запутанности)
> выводы.
> 1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя
> правила файрвола
> 2. добиться чтобы сервер в локальной фактически сети был таки доступен.
> 3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать
> DNAT+правило в цепочке FORWARD.
> изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2,
> это говорит о том, что либо сеть на вашей машине установлена
> не верно, либо хост 84.54.1.2 думает что он в другой сети
> или одно из двух (не считая конечно общей вашей запутанности)Попробую значит xinetd настроить проброс
>[оверквотинг удален]
>> 1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя
>> правила файрвола
>> 2. добиться чтобы сервер в локальной фактически сети был таки доступен.
>> 3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать
>> DNAT+правило в цепочке FORWARD.
>> изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2,
>> это говорит о том, что либо сеть на вашей машине установлена
>> не верно, либо хост 84.54.1.2 думает что он в другой сети
>> или одно из двух (не считая конечно общей вашей запутанности)
> Попробую значит xinetd настроить пробросРешилось все гораздо проще, добавлением маршрута на эту подсеть через шлюз.
>но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает.Непонятно куда telnet не отрабатывает.
>>но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает.
> Непонятно куда telnet не отрабатывает.на почтовик в интернете 84.54.1.2
> на почтовик в интернете 84.54.1.2Так , вы из Багдада?
>> на почтовик в интернете 84.54.1.2
> Так , вы из Багдада?Да. Там у нас в Багдаде телнетом на любой порт зацепиться можно. А у Вас как?
>[оверквотинг удален]
> 192.168.0.143 - клиент в локалке
> Ситуация такая:
> На все сервера, которые я только смог вспомнить, telnet на pop и
> smtp из локалки проходит без проблем, но тут недавно установили банк
> клиент, который так же работает через 110 и 25, с IP
> - 84.54.1.2, но на него telnet не отрабатывает ни с локалки,
> ни со шлюза. Проверил traceroute до почтовика, работает.
> Попросил товарища проверить этот почтовик, у него все отрабатывает, значит где то
> затык у меня.
> Прошу помощи, так как моих мозгов уже не хватает.Тут никаких мозгов не хватит. Для начала нормально скажи КАК должно работать и ЧТО не работает.
PS
воспоминания, товарищей и последние цифры засуньЪ.