форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"Открыть 110 порт"	+/–
Сообщение от Роман (??) on 02-Окт-12, 15:21
Доброго дня! Помогите пожалуйста, не могу хоть убей открыть снаружи 110 порт, конфиг ниже: # Generated by iptables-save v1.4.8 on Tue Oct  2 15:18:57 2012 *nat :PREROUTING ACCEPT [164:10810] :POSTROUTING ACCEPT [49:2940] :OUTPUT ACCEPT [49:2940] -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE -A POSTROUTING -s 192.168.0.67/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.91/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.203/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.206/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.88/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.43/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.208/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.42/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.62/32 -j SNAT --to-source внешний_ip -A POSTROUTING -s 192.168.0.251/32 -j SNAT --to-source внешний_ip COMMIT # Completed on Tue Oct  2 15:18:57 2012 # Generated by iptables-save v1.4.8 on Tue Oct  2 15:18:57 2012 *filter :INPUT DROP [0:0] :FORWARD DROP [14:877] :OUTPUT ACCEPT [3308:2496653] -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -s 192.168.0.67/32 -j ACCEPT -A FORWARD -s 192.168.0.91/32 -j ACCEPT -A FORWARD -s 192.168.0.143/32 -j ACCEPT -A FORWARD -s 192.168.0.203/32 -j ACCEPT -A FORWARD -s 192.168.0.206/32 -j ACCEPT -A FORWARD -s 192.168.0.88/32 -j ACCEPT -A FORWARD -s 192.168.0.43/32 -j ACCEPT -A FORWARD -s 192.168.0.208/32 -j ACCEPT -A FORWARD -s 192.168.0.42/32 -j ACCEPT -A FORWARD -s 192.168.0.62/32 -j ACCEPT -A FORWARD -s 192.168.0.251/32 -j ACCEPT COMMIT # Completed on Tue Oct  2 15:18:57 2012
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Открыть 110 порт"	+/–
Сообщение от Andrey Mitrofanov on 02-Окт-12, 15:54
> Доброго дня! > Помогите пожалуйста, не могу хоть убей открыть снаружи 110 порт, конфиг ниже: Конфиг привёл, молодец. Может и найдётся доброхот, который напишет нужные -t nat -A PREROUTING -j DNAT + -t nat -A POSTROUTING -j SNAT, но ... !"№; !!! ...скока ж можно-то?! ...кажную недёлю??!1 Запостите уже iptables tutorial кто-нибудь в Советы, полный текст??
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Открыть 110 порт"	+/–
	Сообщение от PavelR (ok) on 02-Окт-12, 16:35
	>> Доброго дня! >> Помогите пожалуйста, не могу хоть убей открыть снаружи 110 порт, конфиг ниже: > Конфиг привёл, молодец. Может и найдётся доброхот, который напишет нужные -t nat > -A PREROUTING -j DNAT + -t nat -A POSTROUTING -j SNAT, > но ... !"№; !!! ...скока ж можно-то?! ...кажную недёлю??!1 > Запостите уже iptables tutorial кто-нибудь в Советы, полный текст?? Думаешь поможет? В Фидо, вроде как, за нечтение факов, "плюсовали". )
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Открыть 110 порт"	+/–
Сообщение от PavelR (ok) on 02-Окт-12, 16:42
> Доброго дня! > Помогите пожалуйста, не могу хоть убей открыть снаружи 110 порт, конфиг ниже: а что вы таки понимаете под словами "открыть 110 порт"? Лично у меня есть целых три варианта понимания фразы "открыть порт" - открыть слушающий сокет порта - открыть соединение на слушающий сокет порта - открыть дырку для подобных соединений в файрволле. Судя по тому, что написано в листингах iptables-save, с пунктом 3 вы вроде-как справились. Наверное, вам надо подсказать команду "telnet 1.2.3.4 110".  Или всё-таки вы почтовый даймон не запустили ?  Так эти пункты - оффтопик в разделе "Firewall, Фильтрация пакетов / Linux". Ну да ладно. Кстати. Не по теме вопроса, а по сути увиденного: >[оверквотинг удален] > -A POSTROUTING -s 192.168.0.91/32 -j SNAT --to-source внешний_ip > -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний_ip > -A POSTROUTING -s 192.168.0.203/32 -j SNAT --to-source внешний_ip > -A POSTROUTING -s 192.168.0.206/32 -j SNAT --to-source внешний_ip > -A POSTROUTING -s 192.168.0.88/32 -j SNAT --to-source внешний_ip > -A POSTROUTING -s 192.168.0.43/32 -j SNAT --to-source внешний_ip > -A POSTROUTING -s 192.168.0.208/32 -j SNAT --to-source внешний_ip > -A POSTROUTING -s 192.168.0.42/32 -j SNAT --to-source внешний_ip > -A POSTROUTING -s 192.168.0.62/32 -j SNAT --to-source внешний_ip > -A POSTROUTING -s 192.168.0.251/32 -j SNAT --to-source внешний_ip Это бред, потому что первое правило и последующие - дублирование. Это раз. А два: таблица nat не предназначена для "фильтрования", которое вы пытаетесь тут зачем-то изобразить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Открыть 110 порт"	+/–
	Сообщение от Роман (??) on 02-Окт-12, 16:57
	>[оверквотинг удален] >> -A POSTROUTING -s 192.168.0.206/32 -j SNAT --to-source внешний_ip >> -A POSTROUTING -s 192.168.0.88/32 -j SNAT --to-source внешний_ip >> -A POSTROUTING -s 192.168.0.43/32 -j SNAT --to-source внешний_ip >> -A POSTROUTING -s 192.168.0.208/32 -j SNAT --to-source внешний_ip >> -A POSTROUTING -s 192.168.0.42/32 -j SNAT --to-source внешний_ip >> -A POSTROUTING -s 192.168.0.62/32 -j SNAT --to-source внешний_ip >> -A POSTROUTING -s 192.168.0.251/32 -j SNAT --to-source внешний_ip > Это бред, потому что первое правило и последующие - дублирование. Это раз. > А два: таблица nat не предназначена для "фильтрования", которое вы пытаетесь тут > зачем-то изобразить. Разобрался, у меня не приходила почта из вне, как писали выше сделал по цепочке PREROUTING, POSTROUTING, FORWARD. А насчет дублированных правил, это все издержки обучения и производства, конфиг буду доводить до ума
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Открыть 110 порт"	+/–
	Сообщение от Andrey Mitrofanov on 02-Окт-12, 17:16
	> Разобрался, у меня не приходила почта из вне, как писали выше сделал > по цепочке PREROUTING, POSTROUTING, FORWARD. А насчет дублированных правил, это все > издержки обучения и производства, конфиг буду доводить до ума Молодец! //Напиши "Совет" в /tips/ ... А то старожилам -- скучно, а тебе, пока не забыл _первого _раза -- может, и в самый раз?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Открыть 110 порт"	+/–
	Сообщение от Роман (??) on 02-Окт-12, 17:23
	>> Разобрался, у меня не приходила почта из вне, как писали выше сделал >> по цепочке PREROUTING, POSTROUTING, FORWARD. А насчет дублированных правил, это все >> издержки обучения и производства, конфиг буду доводить до ума > Молодец! //Напиши "Совет" в /tips/ ... А то старожилам -- скучно, а > тебе, пока не забыл _первого _раза -- может, и в самый > раз? ок, чуть освобожусь напишу
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Открыть 110 порт"	+/–
	Сообщение от PavelR (ok) on 02-Окт-12, 17:36
	>>> Разобрался, у меня не приходила почта из вне, как писали выше сделал >>> по цепочке PREROUTING, POSTROUTING, FORWARD. А насчет дублированных правил, это все >>> издержки обучения и производства, конфиг буду доводить до ума >> Молодец! //Напиши "Совет" в /tips/ ... А то старожилам -- скучно, а >> тебе, пока не забыл _первого _раза -- может, и в самый >> раз? > ок, чуть освобожусь напишу Свежо предание, да верится с трудом.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема