The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"туплю Iptables не пропускает из нета к почтовому серваку "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от StopTime email on 25-Апр-06, 01:52 
*nat
-A PREROUTING -d 192.168.10.25 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 21 -j DROP
-A PREROUTING -s 213.130.19.0/255.255.255.0 -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.10.30
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 20 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j SNAT --to-source $My_IP
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -i ppp0 -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 3130 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 110 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 143 -j DROP
-A INPUT -i ! lo -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.10.25 -i lo -j ACCEPT
-A INPUT -d 192.168.10.255 -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p udp -j udp_packets
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A INPUT -i eth1 -p tcp -j tcp_packets
-A INPUT -i eth1 -p udp -j udp_packets
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died:" --log-level 7
#
-A FORWARD -i eth1 -p tcp -m tcp --dport 135:139 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth1 -s 192.168.10.30 -j ACCEPT
-A FORWARD -i ppp0 -d 192.168.10.30 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died:" --log-level 7
#
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.10.25 -j ACCEPT
#
-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
#
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
#
-A tcp_packets -d $My_IP -i ppp0 -p tcp -m tcp --dport 80 -j DROP
-A tcp_packets -d $My_IP -i ppp0 -p tcp -m tcp --dport 21 -j DROP
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 25 -j allowed
#-A tcp_packets -p tcp -m tcp --dport 113 -j allowed
-A tcp_packets -p tcp -m tcp --dport 110 -j allowed
#-A tcp_packets -p tcp -m tcp --dport 143 -j allowed
-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
-A tcp_packets -p tcp -m tcp --dport 3128 -j allowed
-A tcp_packets -p tcp -m tcp --dport 3306 -j allowed
-A tcp_packets -p tcp -m tcp --dport 3389 -j allowed
#-A tcp_packets -p tcp -m tcp --dport 1025:65000 -j allowed
#-A tcp_packets -p tcp -m tcp --dport 1080 -j allowed
#
#-A udp_packets -p udp -m udp --dport 1080 -j ACCEPT
-A udp_packets -p udp -m udp --dport 21 -j ACCEPT
-A udp_packets -p udp -m udp --dport 3306 -j ACCEPT
-A udp_packets -p udp -m udp --dport 53 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 137:139 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 123 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 2074 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 4000 -j ACCEPT
#-A udp_packets -p udp -m udp --dport 1025:65000 -j ACCEPT
#-A udp_packets -d 213.227.254.255 -i eth0 -p udp -m udp --dport 137:139 -j DROP
#-A udp_packets -d 255.255.255.255 -i eth0 -p udp -m udp --dport 67:68 -j DROP
COMMIT

Собственно  ppp0 смотрит в Инет
конечно конфиг корявый, но может кто подскажет почему если я проверяю снаружи 25 порт не отображается.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от ru (??) on 25-Апр-06, 01:57 
Если я правильно понял то почтовый сервак у тебя в локалке ???
тогда нуно правило типа
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 25 -j DNAT --to-destination "ip твоего почтовика"
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от StopTime email on 25-Апр-06, 02:18 
>Если я правильно понял то почтовый сервак у тебя в локалке ???
>
>тогда нуно правило типа
>-A PREROUTING -i ppp0 -p tcp -m tcp --dport 25 -j DNAT
>--to-destination "ip твоего почтовика"

Почтовик сидит на шлюзе, почта по локалке ходит нормально и в сеть уходит нормально, а вот обратно пишет

This is the mPOP.Fallback_MX program at host mx4.mail.ru.
I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.
For further assistance, please send mail to <postmaster>
If you do so, please include this problem report. You can
delete your own text from the message returned below.
   The mPOP.Fallback_MX program
<любой мой почтовый адресс>: connect to
    мой домен [мой реайлный айпишник]: Operation timed out

да и снаружи 25 порт не видно, проверял.
когда 22 порт открывал просто добавил в цепочку инпут правило и все заработало, а вот с 25 таже процедура ничего не дала.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от ru (??) on 25-Апр-06, 02:59 
Просто у тебя почтовый сервис sendmail или еще что к ppp0 25 не привязан
вот и все
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от StopTime email on 25-Апр-06, 03:03 
>Просто у тебя почтовый сервис sendmail или еще что к ppp0 25
>не привязан
>вот и все
Вполне возможно я сним не очень дружу и его настраивал другой чел, который к сожалению в отпуске, может поскажет где это поикать можно?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от ru (??) on 25-Апр-06, 03:49 
Блин если сендмаил то поищи на этом сайте
я его тоже не юзаю на вскидку не скажу.

попробуй так
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 25 -j DNAT --to-destination "ip интерфеса котоорый в локалку смотрит"

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от limp0p0 on 25-Апр-06, 09:22 
>>Просто у тебя почтовый сервис sendmail или еще что к ppp0 25
>>не привязан
>>вот и все
>Вполне возможно я сним не очень дружу и его настраивал другой чел,
>который к сожалению в отпуске, может поскажет где это поикать можно?
>
netstat -antup    v studiju :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от limp0p0 on 25-Апр-06, 09:25 
>>>Просто у тебя почтовый сервис sendmail или еще что к ppp0 25
>>>не привязан
>>>вот и все
>>Вполне возможно я сним не очень дружу и его настраивал другой чел,
>>который к сожалению в отпуске, может поскажет где это поикать можно?
>>
>netstat -antup    v studiju :)

tochneje  luche netstat -antup|grep LISTEN

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от StopTime email on 25-Апр-06, 11:07 
>tochneje  luche netstat -antup|grep LISTEN

tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN 768/rpc.statd
tcp 0 0 127.0.0.1:32769 0.0.0.0:* LISTEN 916/xinetd
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 916/xinetd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1138/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 932/sendmail: accep
tcp 0 0 127.0.0.1:3310 0.0.0.0:* LISTEN 1112/clamd
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 916/xinetd
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 916/xinetd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 749/portmap
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1140/httpd
tcp 0 0 192.168.10.25:53 0.0.0.0:* LISTEN 885/named
tcp 0 0 213.227.252.95:53 0.0.0.0:* LISTEN 885/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 885/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 902/sshd
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 1072/(squid)
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 932/sendmail: accep
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 885/named

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от sn email(??) on 25-Апр-06, 11:32 

...
>*filter
>:INPUT DROP [0:0]

попробуй поставить
:INPUT ACCEPT [0:0]

...
>-A INPUT -i eth1 -p icmp -j icmp_packets
>-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
>-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT
>INPUT packet died:" --log-level 7

а здесь добавить
-A INPUT -j DROP

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от StopTime email on 25-Апр-06, 12:48 
>
>...
>>*filter
>>:INPUT DROP [0:0]
>
>попробуй поставить
>:INPUT ACCEPT [0:0]
>
>...
>>-A INPUT -i eth1 -p icmp -j icmp_packets
>>-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
>>-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT
>>INPUT packet died:" --log-level 7
>
>а здесь добавить
>-A INPUT -j DROP

Не помогло, в принципе тож самое. Почтовик смотрит все интерфейсы это по нетстату видно, так шо проблемма с фаерволом, почему записи
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
ему не хватает понять не могу

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от ru (??) on 25-Апр-06, 13:34 
Если есть у тебя машина с другим реальным ip
попробуй telnet (ip ppp0) 25 если приглашения
почтовика есть то iptables тут не приделах
Проблема скорее всего в sendmail  
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от limp0p0 on 25-Апр-06, 18:31 
>>
>>...
>>>*filter
>>>:INPUT DROP [0:0]
>>
>>попробуй поставить
>>:INPUT ACCEPT [0:0]
>>
>>...
>>>-A INPUT -i eth1 -p icmp -j icmp_packets
>>>-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
>>>-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT
>>>INPUT packet died:" --log-level 7
>>
>>а здесь добавить
>>-A INPUT -j DROP
>
>Не помогло, в принципе тож самое. Почтовик смотрит все интерфейсы это по
>нетстату видно, так шо проблемма с фаерволом, почему записи
>-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
>
>ему не хватает понять не могу

samyj prostoj variant otkliuchit firewall i  sledovat rekomendacijam ru, to est telnetom s drugogo vneshnego ip adresa poprobovat podkliuchitsia k 25 portu.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от Gennadi email(??) on 25-Апр-06, 20:49 
>>>
>>>...
>>>>*filter
>>>>:INPUT DROP [0:0]
>>>
>>>попробуй поставить
>>>:INPUT ACCEPT [0:0]
>>>
>>>...
>>>>-A INPUT -i eth1 -p icmp -j icmp_packets
>>>>-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
>>>>-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT
>>>>INPUT packet died:" --log-level 7
>>>
>>>а здесь добавить
>>>-A INPUT -j DROP
>>
>>Не помогло, в принципе тож самое. Почтовик смотрит все интерфейсы это по
>>нетстату видно, так шо проблемма с фаерволом, почему записи
>>-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
>>
>>ему не хватает понять не могу
>
>samyj prostoj variant otkliuchit firewall i  sledovat rekomendacijam ru, to est
>telnetom s drugogo vneshnego ip adresa poprobovat podkliuchitsia k 25 portu.
>

http://gennadi.dyn.ee/21.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "туплю Iptables не пропускает из нета к почтовому серваку "  
Сообщение от Gennadi email(??) on 25-Апр-06, 23:40 

>http://gennadi.dyn.ee/21.html

# SMTP
echo -n "Port for SMTP..."
iptables -A INPUT -i $EXTIF -m state --state NEW -p tcp --dport 25 -j ACCEPT
echo "done!"

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру