форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Подскажите с правилом IPTABLES"

Сообщение от Dragon rideR on 11-Мрт-08, 10:21

Подскажите пожалуйста, следующая ситуация: Есть прокся ext_ip=83.X.X.X int_ip=192.168.0.1 Есть почтарь int_ip=192.168.0.5 Есть пользователm ip=192.168.0.x Как правильно сделать редирект пользователей на почтарь (внутрений ip), если они обращаются к внешнуму IP (83.X.X.X) на 110 и 25 порт? То есть у пользователя в почтовой программе адрес сервера стоит 83.X.X.X, а должен он получить с 192.168.0.5 Я скропал следующее правило, но оно не пашет 8-( ########################################################## LO_IFACE="lo" LO_IP="127.0.0.1" LAN_IFACE="eth0" IP_MTA_HOST="192.168.0.5" ## Mail server LAN_IP_MY="192.168.0.1" LAN_IP_RANGE="192.168.0.0/24"                           #192.168.1.0/24 = 192.168.1.0/255.255.255.0 LAN_IP_BROADCAST="192.168.0.255"                        #192.168.1.0/24 = 192.168.1.0/255.255.255.0 NET_IFACE="eth1" NET_IP_ADSL="83.х.х.х" IPTABLES="/usr/sbin/iptables" ########################################################## ##                                                                                                      ## ########################################################## # Flush,Clear and Zero iptables $IPTABLES -t filter -F $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -t filter -X $IPTABLES -t nat -X $IPTABLES -t mangle -X $IPTABLES -t filter -Z $IPTABLES -t nat -Z $IPTABLES -t mangle -Z ########################################################## ##                                                                                                      ## ########################################################## $IPTABLES -t mangle -P PREROUTING ACCEPT $IPTABLES -t mangle -P INPUT ACCEPT $IPTABLES -t mangle -P FORWARD ACCEPT $IPTABLES -t mangle -P OUTPUT ACCEPT $IPTABLES -t mangle -P POSTROUTING ACCEPT $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P OUTPUT ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT $IPTABLES -t filter -P INPUT DROP $IPTABLES -t filter -P OUTPUT ACCEPT $IPTABLES -t filter -P FORWARD ACCEPT $IPTABLES -t mangle -P PREROUTING ACCEPT $IPTABLES -t mangle -P INPUT ACCEPT $IPTABLES -t mangle -P FORWARD ACCEPT $IPTABLES -t mangle -P OUTPUT ACCEPT $IPTABLES -t mangle -P POSTROUTING ACCEPT $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P OUTPUT ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT $IPTABLES -t filter -P INPUT DROP $IPTABLES -t filter -P OUTPUT ACCEPT $IPTABLES -t filter -P FORWARD ACCEPT ########################################################## ##                       $IPTABLES -N input_iface_net # $IPTABLES -N input_tcp_packets $IPTABLES -N input_udp_packets $IPTABLES -N input_icmp_packets ########################################################## $IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT $IPTABLES -A INPUT -i $NET_IFACE -j input_iface_net #$IPTABLES -A INPUT -i $NET_IFACE -j ACCEPT #    (localhost) $IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT $IPTABLES -A INPUT -s $LO_IP -j ACCEPT $IPTABLES -A INPUT -d $LO_IP -j ACCEPT $IPTABLES -A INPUT -d $NET_IP_ADSL -p "TCP" -m "tcp" --sport "3128" -j ACCEPT #$IPTABLES -A INPUT -p ALL -o $NET_IFACE -j ACCEPT #$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT #$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $NET_IP_ADSL -j ACCEPT $IPTABLES -A INPUT -p ALL -s $LO_IP -j ACCEPT #HTTP (Apache) $IPTABLES -A input_iface_net -s 0/0 -p "TCP" --dport "80"  -j ACCEPT #$IPTABLES -A input_iface_net -s 0/0-p "TCP" --dport "80"  -j ACCEPT #WEBADMIN #$IPTABLES -A input_iface_net -s 0/0 -d 0/0 -p "TCP" --dport "25"  -j ACCEPT #MAIL $IPTABLES -A input_iface_net -s 0/0 -d 0/0 -p "TCP" --dport "25"  -j ACCEPT $IPTABLES -A input_iface_net -s 0/0 -d 0/0 -p "TCP" --dport "110"  -j ACCEPT #FTP $IPTABLES -A input_iface_net -s 0/0 -d 0/0 -p "TCP" --dport "20"  -j ACCEPT $IPTABLES -A input_iface_net -s 0/0 -d 0/0 -p "TCP" --dport "21"  -j ACCEPT # #$IPTABLES -t nat -A PREROUTING -i eth0 --protocol tcp --destination-port 25 -j DNAT --to-destination 192.168.0.5 #$IPTABLES -t nat -A PREROUTING -s 0/0 -d $NET_IP_ADSL -i $LAN_IFACE --protocol tcp --destination-port 80 -j DNAT --to-dest # MAIL $IPTABLES -t nat -A PREROUTING -s 0/0 -d $NET_IP_ADSL -i + --protocol tcp --destination-port 25 -j DNAT --to-destination 19 $IPTABLES -t nat -A PREROUTING -s 0/0 -d $NET_IP_ADSL -i + --protocol tcp --destination-port 110 -j DNAT --to-destination 1 # LAN -> SQUID $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -s 192.168.0.0/24 -d ! $NET_IP_ADSL -p tcp --dport 80 -j REDIRECT --to-port 31 #FORWARD $IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s $LAN_IP_RANGE --dport 25 -j LOG $IPTABLES -A FORWARD -p tcp -s $LAN_IP_RANGE --dport 25 -j DROP #$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT #$IPTABLES -A FORWARD -i $NET_IFACE -d $NET_IP_ADSL --dport "80" -j ACCEPT #$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #DNS (Bind) $IPTABLES -A input_iface_lan -s $LAN_IP_RANGE -p "UDP" -m "udp" --dport "53"  -j ACCEPT $IPTABLES -A INPUT -s 0/0 -d 0/0 -p "UDP" -m "udp" --dport "53"  -j ACCEPT #PROXY (Squid) $IPTABLES -A INPUT -s $LAN_IP_RANGE -p "TCP" -m "tcp" --dport "3128"  -j ACCEPT #PING $IPTABLES -A input_iface_lan -p "ICMP" -s "0/0" --icmp-type "0" -j ACCEPT #ROUTING $IPTABLES -t nat -A POSTROUTING -s 192.168.0.5 -j SNAT --to-source $NET_IP_ADSL $IPTABLES -t nat -A POSTROUTING -o $NET_IFACE -j SNAT --to-source $NET_IP_ADSL

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Подскажите с правилом IPTABLES"

Сообщение от stas (??) on 11-Мрт-08, 10:59

>[оверквотинг удален] >$IPTABLES -A INPUT -s $LAN_IP_RANGE -p "TCP" -m "tcp" --dport "3128"   >-j ACCEPT > >#PING >$IPTABLES -A input_iface_lan -p "ICMP" -s "0/0" --icmp-type "0" -j ACCEPT > >#ROUTING >$IPTABLES -t nat -A POSTROUTING -s 192.168.0.5 -j SNAT --to-source $NET_IP_ADSL >$IPTABLES -t nat -A POSTROUTING -o $NET_IFACE -j SNAT --to-source $NET_IP_ADSL > А что такое $IPTABLES -t nat -A PREROUTING -s 0/0 -d $NET_IP_ADSL -i + --protocol tcp --destination-port 25 -j DNAT --to-destination 19 $IPTABLES -t nat -A PREROUTING -s 0/0 -d $NET_IP_ADSL -i + --protocol tcp --destination-port 110 -j DNAT --to-destination 1 --to-destination 19 и --to-destination 1 ? Может здесь надо указать внутренние ip адреса? И еще, я не вижу правила, разрешающего прохождение пакетов в цепочке forward к почтовику. Что-нибудь, типа: $IPTABLES -A FORWARD -p tcp -d $IP_MTA_HOST --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p tcp -d $IP_MTA_HOST --dport 110 -j ACCEPT Есть только правило от почтовика $IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --dport 25 -j ACCEPT Да и то почему-то на dport, хотя по логике должно быть от sport. Наверное, это может быть так: $IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --sport 25 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --sport 110 -j ACCEPT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Подскажите с правилом IPTABLES"
	Сообщение от Dragon rideR on 11-Мрт-08, 11:17
	>А что такое > >$IPTABLES -t nat -A PREROUTING -s 0/0 -d $NET_IP_ADSL -i + --protocol >tcp --destination-port 25 -j DNAT --to-destination 19 >$IPTABLES -t nat -A PREROUTING -s 0/0 -d $NET_IP_ADSL -i + --protocol >tcp --destination-port 110 -j DNAT --to-destination 1 > >--to-destination 19 и --to-destination 1 ? Не полностью строчка скопировалась $IPTABLES -t nat -A PREROUTING -s 0/0 -d $NET_IP_ADSL -i + --protocol tcp --destination-port 25 -j DNAT --to-destination $IP_MTA_HOST   >[оверквотинг удален] > >Есть только правило от почтовика > >$IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --dport 25 -j ACCEPT > >Да и то почему-то на dport, хотя по логике должно быть от >sport. >Наверное, это может быть так: >$IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --sport 25 -j ACCEPT >$IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --sport 110 -j ACCEPT Добавил, не помогает (
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Подскажите с правилом IPTABLES"
	Сообщение от stas (??) on 11-Мрт-08, 11:29
	>[оверквотинг удален] >> >>$IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --dport 25 -j ACCEPT >> >>Да и то почему-то на dport, хотя по логике должно быть от >>sport. >>Наверное, это может быть так: >>$IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --sport 25 -j ACCEPT >>$IPTABLES -A FORWARD -p tcp -s $IP_MTA_HOST --sport 110 -j ACCEPT > >Добавил, не помогает ( Покажите весь скрипт
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Подскажите с правилом IPTABLES"

Сообщение от PS (??) on 11-Мрт-08, 11:14

$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -s $LAN_IP_RANGE -d $NET_IP_ADSL --p tcp --dport 25 -j DNAT --to-destination $IP_MTA_HOST:25 $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -s $LAN_IP_RANGE -d $NET_IP_ADSL --p tcp --dport 110 -j DNAT --to-destination $IP_MTA_HOST:110

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Подскажите с правилом IPTABLES"
	Сообщение от PS (??) on 11-Мрт-08, 11:15
	-p
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Подскажите с правилом IPTABLES"
	Сообщение от Dragon rideR on 11-Мрт-08, 11:22
	>$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -s $LAN_IP_RANGE -d $NET_IP_ADSL --p >tcp --dport 25 -j DNAT --to-destination $IP_MTA_HOST:25 > > >$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -s $LAN_IP_RANGE -d $NET_IP_ADSL --p >tcp --dport 110 -j DNAT --to-destination $IP_MTA_HOST:110 Добавил, таже фигня (
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Подскажите с правилом IPTABLES"
	Сообщение от PS (??) on 11-Мрт-08, 11:37
	Положи iptables-save по проще будет смотреть
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Подскажите с правилом IPTABLES"
	Сообщение от PS (??) on 11-Мрт-08, 11:43
	192.168.0.5 отвечает непосредственно клиентам LAN миную рутер, а они ожидают ответ от 88.x.x.x так как с ним устанавливают соединение. Пропиши клиентам нормально почтовик 192.168.0.5 через представление ДНС и не парься. Если нужен проброс снаружи на почтовик , у тебя вроде сделано.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Подскажите с правилом IPTABLES"
	Сообщение от Dragon rideR on 11-Мрт-08, 11:46
	>Положи iptables-save по проще будет смотреть # Generated by iptables-save v1.3.6 on Tue Mar 11 13:06:43 2008 *raw :PREROUTING ACCEPT [180306557:20394678232] :OUTPUT ACCEPT [25452448:11581887314] COMMIT # Completed on Tue Mar 11 13:06:43 2008 # Generated by iptables-save v1.3.6 on Tue Mar 11 13:06:43 2008 *mangle :PREROUTING ACCEPT [30073:11406102] :INPUT ACCEPT [28162:10590584] :FORWARD ACCEPT [1911:815518] :OUTPUT ACCEPT [29606:15593710] :POSTROUTING ACCEPT [31507:16408223] COMMIT # Completed on Tue Mar 11 13:06:43 2008 # Generated by iptables-save v1.3.6 on Tue Mar 11 13:06:43 2008 *nat :PREROUTING ACCEPT [2412:128637] :POSTROUTING ACCEPT [100:6185] :OUTPUT ACCEPT [858:51528] -A PREROUTING -s 192.168.0.0/255.255.255.0 -d 83.x.x.x -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.5:25 -A PREROUTING -s 192.168.0.0/255.255.255.0 -d 83.x.x.x -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.5:110 -A PREROUTING -d 83.x.x.x -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.5 -A PREROUTING -d 83.x.x.x -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.5 -A POSTROUTING -d 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.0.5 -A POSTROUTING -s 192.168.0.5 -j SNAT --to-source 83.x.x.x -A POSTROUTING -o eth1 -j SNAT --to-source 83.x.x.x COMMIT # Completed on Tue Mar 11 13:06:43 2008 # Generated by iptables-save v1.3.6 on Tue Mar 11 13:06:43 2008 *filter :INPUT DROP [36:6239] :FORWARD ACCEPT [1087:313990] :OUTPUT ACCEPT [29603:15595037] :input_icmp_packets - [0:0] :input_iface_lan - [0:0] :input_iface_net - [0:0] :input_log_drop - [0:0] :input_log_reject - [0:0] :input_tcp_packets - [0:0] :input_udp_packets - [0:0] -A INPUT -i eth0 -j ACCEPT -A INPUT -i eth1 -j input_iface_net -A INPUT -i lo -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT -A INPUT -d 127.0.0.1 -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -s 192.168.0.5 -p tcp -m tcp --sport 25 -j ACCEPT -A FORWARD -s 192.168.0.5 -p tcp -m tcp --sport 110 -j ACCEPT -A FORWARD -d 192.168.0.5 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -d 192.168.0.5 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 25 -j LOG -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 25 -j DROP -A input_iface_lan -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT -A input_iface_lan -p icmp -m icmp --icmp-type 0 -j ACCEPT -A input_iface_lan -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A input_iface_net -p tcp -m tcp --dport 80 -j ACCEPT -A input_iface_net -p tcp -m tcp --dport 25 -j ACCEPT -A input_iface_net -p tcp -m tcp --dport 110 -j ACCEPT -A input_iface_net -p tcp -m tcp --dport 20 -j ACCEPT -A input_iface_net -p tcp -m tcp --dport 21 -j ACCEPT -A input_iface_net -m state --state RELATED,ESTABLISHED -j ACCEPT -A input_iface_net -p tcp -m tcp --dport 22 -j ACCEPT COMMIT
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Подскажите с правилом IPTABLES"
	Сообщение от stas (??) on 11-Мрт-08, 11:53
	>[оверквотинг удален] > > >-A input_iface_net -p tcp -m tcp --dport 80 -j ACCEPT >-A input_iface_net -p tcp -m tcp --dport 25 -j ACCEPT >-A input_iface_net -p tcp -m tcp --dport 110 -j ACCEPT >-A input_iface_net -p tcp -m tcp --dport 20 -j ACCEPT >-A input_iface_net -p tcp -m tcp --dport 21 -j ACCEPT >-A input_iface_net -m state --state RELATED,ESTABLISHED -j ACCEPT >-A input_iface_net -p tcp -m tcp --dport 22 -j ACCEPT >COMMIT Остается еще одно. Покажите cat /proc/sys/net/ipv4/ip_forward Должна быть 1.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Подскажите с правилом IPTABLES"
	Сообщение от Dragon rideR on 11-Мрт-08, 11:58
	>[оверквотинг удален] >>-A input_iface_net -p tcp -m tcp --dport 110 -j ACCEPT >>-A input_iface_net -p tcp -m tcp --dport 20 -j ACCEPT >>-A input_iface_net -p tcp -m tcp --dport 21 -j ACCEPT >>-A input_iface_net -m state --state RELATED,ESTABLISHED -j ACCEPT >>-A input_iface_net -p tcp -m tcp --dport 22 -j ACCEPT >>COMMIT > >Остается еще одно. >Покажите cat /proc/sys/net/ipv4/ip_forward >Должна быть 1. Она и есть 1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Подскажите с правилом IPTABLES"
	Сообщение от stas (??) on 11-Мрт-08, 12:00
	>[оверквотинг удален] >>>-A input_iface_net -p tcp -m tcp --dport 21 -j ACCEPT >>>-A input_iface_net -m state --state RELATED,ESTABLISHED -j ACCEPT >>>-A input_iface_net -p tcp -m tcp --dport 22 -j ACCEPT >>>COMMIT >> >>Остается еще одно. >>Покажите cat /proc/sys/net/ipv4/ip_forward >>Должна быть 1. > >Она и есть 1 Проверьте, изменяются ли счетчики нужных правил в цепочках PREROUTING и FORWARD.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Подскажите с правилом IPTABLES"
	Сообщение от Dragon rideR on 11-Мрт-08, 12:06
	>Проверьте, изменяются ли счетчики нужных правил в цепочках PREROUTING и FORWARD. К сожалению не знаю как 8-( Можете написать базовое правило которое будет редиректить пакеты из локальной сети на почтарь? А я уже сам постараюсь приделать его к своим правилам
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Подскажите с правилом IPTABLES"
	Сообщение от stas (??) on 11-Мрт-08, 12:22
	>>Проверьте, изменяются ли счетчики нужных правил в цепочках PREROUTING и FORWARD. > >К сожалению не знаю как 8-( > >Можете написать базовое правило которое будет редиректить пакеты из локальной сети на >почтарь? А я уже сам постараюсь приделать его к своим правилам > Вам следует внимательно прочитать руководство к iptables, тем более, что оно есть на русском. Еще у вас странное правило -A POSTROUTING -d 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.0.5 Не понимаю, зачем редиректить пакеты из локальной сети в локальную сеть? Проблема скорее всего в том, что Ваш почтовик в локальной сети, видя локальный адрес отправителя, отправляет пакеты мимо файервола прямо в сеть, а источник пакетов  не ожидает увидеть адрес 192.168.0.5 и сбрасывает их. Вам нужно, наверное, в цепочке POSTROUTING добавить правило с действием SNAT, которое будет переопределять адрес отправителя пакетов в локальный адрес файервола: $IPTABLES -t nat -A POSTROUTING -d 192.168.0.5 --dport 25 -j SNAT --to-source 192.168.0.1 $IPTABLES -t nat -A POSTROUTING -d 192.168.0.5 --dport 110 -j SNAT --to-source 192.168.0.1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Подскажите с правилом IPTABLES"
	Сообщение от Dragon rideR on 11-Мрт-08, 12:28
	>Вам нужно, наверное, в цепочке POSTROUTING добавить правило с действием SNAT, которое > >будет переопределять адрес отправителя пакетов в локальный адрес файервола: >$IPTABLES -t nat -A POSTROUTING -d 192.168.0.5 --dport 25 -j SNAT --to-source >192.168.0.1 >$IPTABLES -t nat -A POSTROUTING -d 192.168.0.5 --dport 110 -j SNAT --to-source >192.168.0.1 ОГРОМНОЕ СПАСИБО!!!!! Разобрался!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Подскажите с правилом IPTABLES"
	Сообщение от Dragon rideR on 11-Мрт-08, 12:20
	Пробую telnet 83.x.x.x 110 соединение устанавливается, но только мигает курсор, не дает комманды вводить и ответов нет Вот исправленый конфиг:
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]