форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Проблема с iptables"
Сообщение от tangar on 10-Июл-03, 13:56  (MSK)
Срочно нужна помощь! Один канал в инет, прокидываю 20,110,3000 порты на внутренний адрес 192.168.0.1, внутренний интерфейс шлюза 192.168.0.3, внешний xxx.xxx.xxx.xxx, заметил такой глюк: когда мой сервер получает почту иногда (довольно часто) в логах почтовика я вижу не нормальный IP, а IP 192.168.0.3 и какой-то левый порт (выше 1024), и дальше конект с ним обрываеться, я для примера проверил, с mail.ru - всё ок, c newmail.ru - вот такая штука. В чём глюк - понять не могу, подскажите пожалуйста! # Generated by iptables-save v1.2.7a on Tue Jul  1 13:55:27 2003 *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp -m tcp -d xxx.xxx.xxx.xxx --dport 3000 -j DNAT --to-destination 192.168.0.1:3000 -A PREROUTING -p tcp -m tcp -d xxx.xxx.xxx.xxx --dport 110 -j DNAT --to-destination 192.168.0.1:110 -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source xxx.xxx.xxx.xxx -A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.0.1 --dport 25 -j SNAT --to-source 192.168.0.3 -A OUTPUT -p tcp -m tcp -d xxx.xxx.xxx.xxx --dport 25 -j DNAT --to-destination 192.168.0.1 -A OUTPUT -p tcp -m tcp -d xxx.xxx.xxx.xxx --dport 110 -j DNAT --to-destination 192.168.0.1 -A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.0.1 --dport 110 -j SNAT --to-source 192.168.0.3 -A PREROUTING -p tcp -m tcp -s 192.168.0.0/24 ! -d xxx.xxx.xxx.xxx --dport 80 -j REDIRECT --to-ports 3128 -A OUTPUT -p tcp -m tcp -d xxx.xxx.xxx.xxx --dport 3000 -j DNAT --to-destination 192.168.0.1 -A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.0.1 --dport 3000 -j SNAT --to-source 192.168.0.3 -A PREROUTING -p tcp -m tcp -d xxx.xxx.xxx.xxx --dport 25 -j DNAT --to-destination 192.168.0.1:25 -A OUTPUT -p tcp -m tcp -d xxx.xxx.xxx.xxx --dport 110 -j DNAT --to-destination 192.168.0.1 COMMIT # Completed on Tue Jul  1 13:55:27 2003 # Generated by iptables-save v1.2.7a on Tue Jul  1 13:55:27 2003 *mangle :PREROUTING ACCEPT [499754:37206763] :INPUT ACCEPT [486470:34363196] :FORWARD ACCEPT [10643:2739633] :OUTPUT ACCEPT [483521:34450535] :POSTROUTING ACCEPT [494163:37190128] COMMIT # Completed on Tue Jul  1 13:55:27 2003 # Generated by iptables-save v1.2.7a on Tue Jul  1 13:55:27 2003 *filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -p tcp -m tcp -d 192.168.0.1 -i eth0 --dport 25 -j ACCEPT -A FORWARD -p tcp -m tcp -d 192.168.0.1 -i eth0 --dport 110 -j ACCEPT -A FORWARD -p tcp -m tcp -d 192.168.0.1 -i eth0 --dport 3000 -j ACCEPT COMMIT # Completed on Tue Jul  1 13:55:27 2003
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Проблема с iptables"
Сообщение от Mikhail on 10-Июл-03, 14:03  (MSK)
-A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.0.1 --dport 25 -j SNAT --to-source 192.168.0.3 - это не оно? И зачем?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Проблема с iptables"
	Сообщение от tangar on 10-Июл-03, 14:14  (MSK)
	Это чтобы сам сервер 192.168.0.1 мог обращаясь к внещнему адресу корректно себя видеть. Я эту строчку времмено убрал, вроде почты юольше посыпалось, но и описанный глюк проскакивает.....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Проблема с iptables"
	Сообщение от Mikhail on 10-Июл-03, 14:22  (MSK)
	Да не глюк это. Что сказано, то и делает... Ведь внутренний интерфейс тоже подпадает под  192.168.0.0/24.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Проблема с iptables"
	Сообщение от tangar on 10-Июл-03, 14:27  (MSK)
	Дык, значит в том правиле надо не 192.168.0.0/24, а указать диапазон 192.168.0.2-254 ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Проблема с iptables"
	Сообщение от Mikhail on 10-Июл-03, 14:42  (MSK)
	Смотря зачем это делается... Может, достаточно snat наружу и dnat внутрь? при нормально настроенном dns обычно хватает... Тогда стОит аккуратно выделить этот канал ('-p tcp -s 192.168.0.1 -o $external_interface --dport 25' наружу, например), а следующими правилами остальные хосты...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Проблема с iptables"
	Сообщение от Tangar on 10-Июл-03, 22:43  (MSK)
	Хе! Как написано, как я понимаю, весь траф от 192.168.0.1 будет заворачиваться на 25 порт... А надо это, как я писал выше, чтобы 192.168.0.1 по dnat'ченым портам видел себя нормально. Или я чего-то не понимаю?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Проблема с iptables"
	Сообщение от Mikhail on 11-Июл-03, 10:32  (MSK)
	>Или я чего-то не понимаю? Виноват. У меня такое: # для определенных хостов -A POSTROUTING -p tcp  -s 192.168.0.1 -o $external_interface --dport 25 \ -j SNAT --to-source $ext_ip #для остальных ... --to-source $ext_ip_1 #или другие правила Тут, скорее, я не понимаю - что есть 'видел себя нормально'? Зачем dnat из локальной сети в нее же?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Проблема с iptables"
	Сообщение от tangar on 11-Июл-03, 10:46  (MSK)
	Без той строчки с DNAT'ом, когда я конекчусь с сервера 192.168.0.1 на проброшеный порт он не может соединиться (вернее, соединяется и соединение сразу разрываеться.)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Проблема с iptables"
	Сообщение от Mikhail on 11-Июл-03, 11:08  (MSK)
	Еще раз. Со шлюзом понятно. Где почтовик установлен? Какой? Какие соединения не работают - снаружи, изнутри... Для внутреннего домена есть mx-запись в dns? Для внешнего домена - есть? Что в логах почтовика? Трафик смотрел, что за соединения устанавливаются/пытаются установиться перед отказом соединения?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Проблема с iptables"
	Сообщение от tangar on 11-Июл-03, 11:47  (MSK)
	Так, наблюдения показали: после того, как убрал ту строчку - всё снаружи заработало нормально, НО сам сервер(почтовый, 192.168.0.1) к себе через внешний интерфейс не может приконектиться. На это можно забить, главное что всё снаружи работает. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Проблема с iptables"
	Сообщение от Mikhail on 11-Июл-03, 12:49  (MSK)
	>НО сам сервер(почтовый, 192.168.0.1) к себе через внешний интерфейс >не может приконектиться. В чем у него это заключается? В логах ошибки? Какие? Может, ДНС внутренний настроить стОит?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Проблема с iptables"
	Сообщение от tangar on 11-Июл-03, 13:02  (MSK)
	Беру конекчусь к telnet'ом к xxx.xxx.xxx.xxx:25 c этого почтового сервера - ничего не вижу, в логах почтовика вижу: Fri 2003-07-11 12:57:51: [760:7421:1] Accepting SMTP connection from [192.168.0.1 : 3146] Fri 2003-07-11 12:57:51: [760:7421:1] Socket connection closed by the other side (how rude!) Fri 2003-07-11 12:57:51: [760:7421:1] Winsock Error 10053 Software caused a connection abort. Fri 2003-07-11 12:57:51: [760:7421:1] Unexpected socket closure
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Проблема с iptables"
	Сообщение от Mikhail on 11-Июл-03, 13:22  (MSK)
	Проверь порядок правил, посмотри сниффером, как пакеты ходят и где рубятся. А зачем ему самому с собой, да еще и через 'наружу', беседовать? Это я так, просто не понимаю...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Проблема с iptables"
	Сообщение от tangar on 11-Июл-03, 14:27  (MSK)
	Да особо и не надо, я ж говорил, так - для порядка. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.