URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94035
[ Назад ]

Исходное сообщение
" iptables + telnet + pop3 smtp - непонятно отрабатывает"

Отправлено rmsk , 16-Ноя-12 11:52 
Доброго дня!
Конфиг:
eth0 - внешний
eth1 - внутренний
84.54.1.1 - внешний IP
84.54.1.2 - необходимый почтовый сервер в инете (реально отличается от моего внешнего айпишника только последней цифрой)
192.168.0.143 - клиент в локалке
Ситуация такая:
На все сервера, которые я только смог вспомнить, telnet на pop и smtp из локалки проходит без проблем, но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает.
Попросил товарища проверить этот почтовик, у него все отрабатывает, значит где то затык у меня.
Прошу помощи, так как моих мозгов уже не хватает.
Конфиг iptables:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [1:71]
:OUTPUT ACCEPT [115:40047]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth0 -p udp -m multiport --dports 25,110 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.143/32 -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [254:17252]
:POSTROUTING ACCEPT [88:5280]
:OUTPUT ACCEPT [88:5280]
-A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.67
-A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.67
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source 84.54.1.1
-A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 110 -j SNAT --to-source 84.54.1.1
-A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 25 -j SNAT --to-source 84.54.1.1
COMMIT


Содержание

Сообщения в этом обсуждении
" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено pavel_simple , 16-Ноя-12 14:29 
>[оверквотинг удален]
> *filter
> :INPUT DROP [0:0]
> :FORWARD DROP [1:71]
> :OUTPUT ACCEPT [115:40047]
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -i lo -j ACCEPT
> -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
> -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -s 192.168.0.0/24 -i eth0 -p udp -m multiport --dports 25,110
> -j ACCEPT

это ^^^ чито?
> -A INPUT -s 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 25,110
> -j ACCEPT

так
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 25 -j ACCEPT
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 110 -j ACCEPT

это ^^^ зачем если ранее дано разрешение для всей сети?

> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 465 -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 995 -j ACCEPT

опять ниже непонятно зачем
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 25 -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 110 -j ACCEPT

^^^вот досюда
> -A FORWARD -s 192.168.0.143/32 -j ACCEPT
> -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

это ^^^ зачем если полиси ACCEPT?
> COMMIT
> *nat
> :PREROUTING ACCEPT [254:17252]
> :POSTROUTING ACCEPT [88:5280]
> :OUTPUT ACCEPT [88:5280]
> -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 110 -j DNAT
> --to-destination 192.168.0.67
> -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 25 -j DNAT
> --to-destination 192.168.0.67

эти убрать и поставить xinetd с редиректом., соответственно их в input'е открыть.
> -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

маскарад -- это такой SNAT, который натит в зависимости от текущего деволт-маршрута.
> -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source 84.54.1.1
> -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 110 -j SNAT
> --to-source 84.54.1.1
> -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 25 -j SNAT
> --to-source 84.54.1.1

вот ^^^^вообще всё убрать и добавить
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 84.54.1.1
> COMMIT

для решения задачки не хватает
ip ro sh
ip ru sh
ip a sh dev eth0
ip a sh dev eth1


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено rmsk , 16-Ноя-12 14:43 
> для решения задачки не хватает
> ip ro sh
> ip ru sh
> ip a sh dev eth0
> ip a sh dev eth1

ip ro sh
84.54.1.0/24 dev eth0  proto kernel  scope link  src 84.54.1.1
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.40
default via 84.54.1.4 dev eth0

ip ru sh
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

ip a sh dev eth0
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:80:48:18:34:db brd ff:ff:ff:ff:ff:ff
    inet 84.54.1.1/24 brd 84.54.1.255 scope global eth0
    inet6 fe80::280:48ff:fe18:34db/64 scope link
       valid_lft forever preferred_lft forever

ip a sh dev eth1
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether d0:27:88:37:98:7c brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.40/24 brd 192.168.0.255 scope global eth1
    inet6 fe80::d227:88ff:fe37:987c/64 scope link
       valid_lft forever preferred_lft forever


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено pavel_simple , 16-Ноя-12 14:51 
>[оверквотинг удален]
>     link/ether 00:80:48:18:34:db brd ff:ff:ff:ff:ff:ff
>     inet 84.54.1.1/24 brd 84.54.208.255 scope global eth0
>     inet6 fe80::280:48ff:fe18:34db/64 scope link
>        valid_lft forever preferred_lft forever
> ip a sh dev eth1
> 2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
>     link/ether d0:27:88:37:98:7c brd ff:ff:ff:ff:ff:ff
>     inet 192.168.0.40/24 brd 192.168.0.255 scope global eth1
>     inet6 fe80::d227:88ff:fe37:987c/64 scope link
>        valid_lft forever preferred_lft forever

почему проходиться втягивать?
вы правила netfilter'а поправили? как они теперь выглядят? iptables-save не соизволите?
arp -an 84.54.1.2 тоже будте добры.


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено rmsk , 16-Ноя-12 14:57 
> почему проходиться втягивать?
> вы правила netfilter'а поправили? как они теперь выглядят? iptables-save не соизволите?
> arp -an 84.54.1.2 тоже будте добры.

нет, правила еще правлю, боюсь накосячить, так как приходится работать на "горячую".
arp -an 84.54.1.2
arp: in 59 entries no match found.


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено rmsk , 16-Ноя-12 15:09 
iptables-save не соизволите?

*filter
:INPUT DROP [0:0]
:FORWARD DROP [1:71]
:OUTPUT ACCEPT [115:40047]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.143/32 -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [254:17252]
:POSTROUTING ACCEPT [88:5280]
:OUTPUT ACCEPT [88:5280]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 84.54.1.1
COMMIT

Если убираю эти 2 строчки, то почтовые клиенты снаружи не работают, уже проверял:
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено pavel_simple , 16-Ноя-12 15:36 
>[оверквотинг удален]
> --dport 110 -j ACCEPT
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.0.143/32 -j ACCEPT
> -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
> COMMIT
> *nat
> :PREROUTING ACCEPT [254:17252]
> :POSTROUTING ACCEPT [88:5280]
> :OUTPUT ACCEPT [88:5280]
> -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

это и то, что ниже выполняет одну и ту-же функцию, поэтому стоит определиться или/или
>[оверквотинг удален]
> COMMIT
> Если убираю эти 2 строчки, то почтовые клиенты снаружи не работают, уже
> проверял:
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 25 -j ACCEPT
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 110 -j ACCEPT
>нет, правила еще правлю, боюсь накосячить, так как приходится работать на "горячую".
>arp -an 84.54.1.2
>arp: in 59 entries no match found.

отвечаю на оба
во первых учитывая вашу сеть на eth1, данный 84.54.1.2 ip должен быть доступен пл ARP'у, раз arp-записи не имеется - соответственно хост не доступен.
2.
почтовые клиенты снаружи недоступны совершенно правильно -- т.к. в моём предложении было убрать DNAT и за место него поставить xinetd.


выводы.
1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя правила файрвола
2. добиться чтобы сервер в локальной фактически сети был таки доступен.
3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать DNAT+правило в цепочке FORWARD.

изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2, это говорит о том, что либо сеть на вашей машине установлена не верно, либо хост 84.54.1.2 думает что он в другой сети  или одно из двух (не считая конечно общей вашей запутанности)


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено rmsk , 16-Ноя-12 15:42 
> выводы.
> 1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя
> правила файрвола
> 2. добиться чтобы сервер в локальной фактически сети был таки доступен.
> 3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать
> DNAT+правило в цепочке FORWARD.
> изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2,
> это говорит о том, что либо сеть на вашей машине установлена
> не верно, либо хост 84.54.1.2 думает что он в другой сети
>  или одно из двух (не считая конечно общей вашей запутанности)

Попробую значит xinetd настроить проброс


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено rmsk , 19-Ноя-12 11:17 
>[оверквотинг удален]
>> 1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя
>> правила файрвола
>> 2. добиться чтобы сервер в локальной фактически сети был таки доступен.
>> 3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать
>> DNAT+правило в цепочке FORWARD.
>> изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2,
>> это говорит о том, что либо сеть на вашей машине установлена
>> не верно, либо хост 84.54.1.2 думает что он в другой сети
>>  или одно из двух (не считая конечно общей вашей запутанности)
> Попробую значит xinetd настроить проброс

Решилось все гораздо проще, добавлением маршрута на эту подсеть через шлюз.


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено vlb267 , 16-Ноя-12 14:33 
>но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает.

Непонятно  куда telnet не отрабатывает.


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено rmsk , 16-Ноя-12 14:36 
>>но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает.
>  Непонятно  куда telnet не отрабатывает.

на почтовик в интернете 84.54.1.2


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено Vladimir , 18-Ноя-12 10:35 
> на почтовик в интернете 84.54.1.2

Так , вы из Багдада?


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено LSTemp , 20-Ноя-12 03:28 
>> на почтовик в интернете 84.54.1.2
>  Так , вы из Багдада?

Да. Там у нас в Багдаде телнетом на любой порт зацепиться можно. А у Вас как?


" iptables + telnet + pop3 smtp - непонятно отрабатывает"
Отправлено LSTemp , 20-Ноя-12 03:40 
>[оверквотинг удален]
> 192.168.0.143 - клиент в локалке
> Ситуация такая:
> На все сервера, которые я только смог вспомнить, telnet на pop и
> smtp из локалки проходит без проблем, но тут недавно установили банк
> клиент, который так же работает через 110 и 25, с IP
> - 84.54.1.2, но на него telnet не отрабатывает ни с локалки,
> ни со шлюза. Проверил traceroute до почтовика, работает.
> Попросил товарища проверить этот почтовик, у него все отрабатывает, значит где то
> затык у меня.
> Прошу помощи, так как моих мозгов уже не хватает.

Тут никаких мозгов не хватит. Для начала нормально скажи КАК должно работать и ЧТО не работает.

PS
воспоминания, товарищей и последние цифры засуньЪ.