forum.opennet.ru - " iptables + telnet + pop3 smtp - непонятно отрабатывает" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

" iptables + telnet + pop3 smtp - непонятно отрабатывает"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

" iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
Сообщение от rmsk (ok) on 16-Ноя-12, 11:52
Доброго дня! Конфиг: eth0 - внешний eth1 - внутренний 84.54.1.1 - внешний IP 84.54.1.2 - необходимый почтовый сервер в инете (реально отличается от моего внешнего айпишника только последней цифрой) 192.168.0.143 - клиент в локалке Ситуация такая: На все сервера, которые я только смог вспомнить, telnet на pop и smtp из локалки проходит без проблем, но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает. Попросил товарища проверить этот почтовик, у него все отрабатывает, значит где то затык у меня. Прошу помощи, так как моих мозгов уже не хватает. Конфиг iptables: filter :INPUT DROP [0:0] :FORWARD DROP [1:71] :OUTPUT ACCEPT [115:40047] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 192.168.0.0/24 -i eth0 -p udp -m multiport --dports 25,110 -j ACCEPT -A INPUT -s 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 25,110 -j ACCEPT -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -s 192.168.0.143/32 -j ACCEPT -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT nat :PREROUTING ACCEPT [254:17252] :POSTROUTING ACCEPT [88:5280] :OUTPUT ACCEPT [88:5280] -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.67 -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.67 -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source 84.54.1.1 -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 110 -j SNAT --to-source 84.54.1.1 -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 25 -j SNAT --to-source 84.54.1.1 COMMIT
Ответить \| Правка \| Cообщить модератору

Оглавление

iptables + telnet + pop3 smtp - непонятно отрабатывает, pavel_simple, 14:29 , 16-Ноя-12, (1)

iptables + telnet + pop3 smtp - непонятно отрабатывает, rmsk, 14:43 , 16-Ноя-12, (4)

iptables + telnet + pop3 smtp - непонятно отрабатывает, pavel_simple, 14:51 , 16-Ноя-12, (5)

iptables + telnet + pop3 smtp - непонятно отрабатывает, rmsk, 14:57 , 16-Ноя-12, (6)
iptables + telnet + pop3 smtp - непонятно отрабатывает, rmsk, 15:09 , 16-Ноя-12, (7)

iptables + telnet + pop3 smtp - непонятно отрабатывает, pavel_simple, 15:36 , 16-Ноя-12, (8)

iptables + telnet + pop3 smtp - непонятно отрабатывает, rmsk, 15:42 , 16-Ноя-12, (9)

iptables + telnet + pop3 smtp - непонятно отрабатывает, rmsk, 11:17 , 19-Ноя-12, (11)

iptables + telnet + pop3 smtp - непонятно отрабатывает, vlb267, 14:33 , 16-Ноя-12, (2) +1

iptables + telnet + pop3 smtp - непонятно отрабатывает, rmsk, 14:36 , 16-Ноя-12, (3)

iptables + telnet + pop3 smtp - непонятно отрабатывает, Vladimir, 10:35 , 18-Ноя-12, (10)

iptables + telnet + pop3 smtp - непонятно отрабатывает, LSTemp, 03:28 , 20-Ноя-12, (12)

iptables + telnet + pop3 smtp - непонятно отрабатывает, LSTemp, 03:40 , 20-Ноя-12, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от pavel_simple (ok) on 16-Ноя-12, 14:29

>[оверквотинг удален]
> *filter
> :INPUT DROP [0:0]
> :FORWARD DROP [1:71]
> :OUTPUT ACCEPT [115:40047]
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -i lo -j ACCEPT
> -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
> -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -s 192.168.0.0/24 -i eth0 -p udp -m multiport --dports 25,110
> -j ACCEPT
это ^^^ чито?
> -A INPUT -s 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 25,110
> -j ACCEPT
так
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 25 -j ACCEPT
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 110 -j ACCEPT
это ^^^ зачем если ранее дано разрешение для всей сети?
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 465 -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 995 -j ACCEPT
опять ниже непонятно зачем
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 25 -j ACCEPT
> -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --dport 110 -j ACCEPT
^^^вот досюда
> -A FORWARD -s 192.168.0.143/32 -j ACCEPT
> -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
это ^^^ зачем если полиси ACCEPT?
> COMMIT
> *nat
> :PREROUTING ACCEPT [254:17252]
> :POSTROUTING ACCEPT [88:5280]
> :OUTPUT ACCEPT [88:5280]
> -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 110 -j DNAT
> --to-destination 192.168.0.67
> -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 25 -j DNAT
> --to-destination 192.168.0.67
эти убрать и поставить xinetd с редиректом., соответственно их в input'е открыть.
> -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
маскарад -- это такой SNAT, который натит в зависимости от текущего деволт-маршрута.
> -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source 84.54.1.1
> -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 110 -j SNAT
> --to-source 84.54.1.1
> -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 25 -j SNAT
> --to-source 84.54.1.1
вот ^^^^вообще всё убрать и добавить
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 84.54.1.1
> COMMIT
для решения задачки не хватает
ip ro sh
ip ru sh
ip a sh dev eth0
ip a sh dev eth1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от rmsk (ok) on 16-Ноя-12, 14:43

> для решения задачки не хватает
> ip ro sh
> ip ru sh
> ip a sh dev eth0
> ip a sh dev eth1
ip ro sh
84.54.1.0/24 dev eth0  proto kernel  scope link  src 84.54.1.1
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.40
default via 84.54.1.4 dev eth0
ip ru sh
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default
ip a sh dev eth0
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:80:48:18:34:db brd ff:ff:ff:ff:ff:ff
    inet 84.54.1.1/24 brd 84.54.1.255 scope global eth0
    inet6 fe80::280:48ff:fe18:34db/64 scope link
       valid_lft forever preferred_lft forever
ip a sh dev eth1
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether d0:27:88:37:98:7c brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.40/24 brd 192.168.0.255 scope global eth1
    inet6 fe80::d227:88ff:fe37:987c/64 scope link
       valid_lft forever preferred_lft forever

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от pavel_simple (ok) on 16-Ноя-12, 14:51

>[оверквотинг удален]
>     link/ether 00:80:48:18:34:db brd ff:ff:ff:ff:ff:ff
>     inet 84.54.1.1/24 brd 84.54.208.255 scope global eth0
>     inet6 fe80::280:48ff:fe18:34db/64 scope link
>        valid_lft forever preferred_lft forever
> ip a sh dev eth1
> 2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
>     link/ether d0:27:88:37:98:7c brd ff:ff:ff:ff:ff:ff
>     inet 192.168.0.40/24 brd 192.168.0.255 scope global eth1
>     inet6 fe80::d227:88ff:fe37:987c/64 scope link
>        valid_lft forever preferred_lft forever
почему проходиться втягивать?
вы правила netfilter'а поправили? как они теперь выглядят? iptables-save не соизволите?
arp -an 84.54.1.2 тоже будте добры.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от rmsk (ok) on 16-Ноя-12, 14:57

> почему проходиться втягивать?
> вы правила netfilter'а поправили? как они теперь выглядят? iptables-save не соизволите?
> arp -an 84.54.1.2 тоже будте добры.
нет, правила еще правлю, боюсь накосячить, так как приходится работать на "горячую".
arp -an 84.54.1.2
arp: in 59 entries no match found.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от rmsk (ok) on 16-Ноя-12, 15:09

iptables-save не соизволите?

*filter
:INPUT DROP [0:0]
:FORWARD DROP [1:71]
:OUTPUT ACCEPT [115:40047]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.143/32 -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [254:17252]
:POSTROUTING ACCEPT [88:5280]
:OUTPUT ACCEPT [88:5280]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 84.54.1.1
COMMIT
Если убираю эти 2 строчки, то почтовые клиенты снаружи не работают, уже проверял:
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от pavel_simple (ok) on 16-Ноя-12, 15:36

>[оверквотинг удален]
> --dport 110 -j ACCEPT
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.0.143/32 -j ACCEPT
> -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
> COMMIT
> *nat
> :PREROUTING ACCEPT [254:17252]
> :POSTROUTING ACCEPT [88:5280]
> :OUTPUT ACCEPT [88:5280]
> -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
это и то, что ниже выполняет одну и ту-же функцию, поэтому стоит определиться или/или
>[оверквотинг удален]
> COMMIT
> Если убираю эти 2 строчки, то почтовые клиенты снаружи не работают, уже
> проверял:
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 25 -j ACCEPT
> -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp
> --dport 110 -j ACCEPT
>нет, правила еще правлю, боюсь накосячить, так как приходится работать на "горячую".
>arp -an 84.54.1.2
>arp: in 59 entries no match found.
отвечаю на оба
во первых учитывая вашу сеть на eth1, данный 84.54.1.2 ip должен быть доступен пл ARP'у, раз arp-записи не имеется - соответственно хост не доступен.
2.
почтовые клиенты снаружи недоступны совершенно правильно -- т.к. в моём предложении было убрать DNAT и за место него поставить xinetd.

выводы.
1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя правила файрвола
2. добиться чтобы сервер в локальной фактически сети был таки доступен.
3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать DNAT+правило в цепочке FORWARD.
изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2, это говорит о том, что либо сеть на вашей машине установлена не верно, либо хост 84.54.1.2 думает что он в другой сети  или одно из двух (не считая конечно общей вашей запутанности)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от rmsk (ok) on 16-Ноя-12, 15:42

> выводы.
> 1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя
> правила файрвола
> 2. добиться чтобы сервер в локальной фактически сети был таки доступен.
> 3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать
> DNAT+правило в цепочке FORWARD.
> изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2,
> это говорит о том, что либо сеть на вашей машине установлена
> не верно, либо хост 84.54.1.2 думает что он в другой сети
>  или одно из двух (не считая конечно общей вашей запутанности)
Попробую значит xinetd настроить проброс

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от rmsk (ok) on 19-Ноя-12, 11:17

>[оверквотинг удален]
>> 1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя
>> правила файрвола
>> 2. добиться чтобы сервер в локальной фактически сети был таки доступен.
>> 3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать
>> DNAT+правило в цепочке FORWARD.
>> изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2,
>> это говорит о том, что либо сеть на вашей машине установлена
>> не верно, либо хост 84.54.1.2 думает что он в другой сети
>>  или одно из двух (не считая конечно общей вашей запутанности)
> Попробую значит xinetd настроить проброс
Решилось все гораздо проще, добавлением маршрута на эту подсеть через шлюз.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

2. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +1 +/–

Сообщение от vlb267 (ok) on 16-Ноя-12, 14:33

>но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает.
Непонятно  куда telnet не отрабатывает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от rmsk (ok) on 16-Ноя-12, 14:36

>>но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает.
>  Непонятно  куда telnet не отрабатывает.
на почтовик в интернете 84.54.1.2

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от Vladimir (??) on 18-Ноя-12, 10:35

> на почтовик в интернете 84.54.1.2
Так , вы из Багдада?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от LSTemp (ok) on 20-Ноя-12, 03:28

>> на почтовик в интернете 84.54.1.2
>  Так , вы из Багдада?
Да. Там у нас в Багдаде телнетом на любой порт зацепиться можно. А у Вас как?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. " iptables + telnet + pop3 smtp - непонятно отрабатывает" +/–

Сообщение от LSTemp (ok) on 20-Ноя-12, 03:40

>[оверквотинг удален]
> 192.168.0.143 - клиент в локалке
> Ситуация такая:
> На все сервера, которые я только смог вспомнить, telnet на pop и
> smtp из локалки проходит без проблем, но тут недавно установили банк
> клиент, который так же работает через 110 и 25, с IP
> - 84.54.1.2, но на него telnet не отрабатывает ни с локалки,
> ни со шлюза. Проверил traceroute до почтовика, работает.
> Попросил товарища проверить этот почтовик, у него все отрабатывает, значит где то
> затык у меня.
> Прошу помощи, так как моих мозгов уже не хватает.
Тут никаких мозгов не хватит. Для начала нормально скажи КАК должно работать и ЧТО не работает.
PS
воспоминания, товарищей и последние цифры засуньЪ.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
Сообщение от pavel_simple (ok) on 16-Ноя-12, 14:29
>[оверквотинг удален] > filter > :INPUT DROP [0:0] > :FORWARD DROP [1:71] > :OUTPUT ACCEPT [115:40047] > -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > -A INPUT -i lo -j ACCEPT > -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT > -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT > -A INPUT -s 192.168.0.0/24 -i eth0 -p udp -m multiport --dports 25,110 > -j ACCEPT это ^^^ чито? > -A INPUT -s 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 25,110 > -j ACCEPT так > -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp > --dport 25 -j ACCEPT > -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp > --dport 110 -j ACCEPT это ^^^ зачем если ранее дано разрешение для всей сети? > -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp > --dport 465 -j ACCEPT > -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp > --dport 995 -j ACCEPT опять ниже непонятно зачем > -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp > --dport 25 -j ACCEPT > -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp > --dport 110 -j ACCEPT ^^^вот досюда > -A FORWARD -s 192.168.0.143/32 -j ACCEPT > -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT это ^^^ зачем если полиси ACCEPT? > COMMIT > nat > :PREROUTING ACCEPT [254:17252] > :POSTROUTING ACCEPT [88:5280] > :OUTPUT ACCEPT [88:5280] > -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 110 -j DNAT > --to-destination 192.168.0.67 > -A PREROUTING -d 84.54.1.1/32 -p tcp -m tcp --dport 25 -j DNAT > --to-destination 192.168.0.67 эти убрать и поставить xinetd с редиректом., соответственно их в input'е открыть. > -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE маскарад -- это такой SNAT, который натит в зависимости от текущего деволт-маршрута. > -A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source 84.54.1.1 > -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 110 -j SNAT > --to-source 84.54.1.1 > -A POSTROUTING -d 192.168.0.67/32 -p tcp -m tcp --dport 25 -j SNAT > --to-source 84.54.1.1 вот ^^^^вообще всё убрать и добавить -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 84.54.1.1 > COMMIT для решения задачки не хватает ip ro sh ip ru sh ip a sh dev eth0 ip a sh dev eth1
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от rmsk (ok) on 16-Ноя-12, 14:43
	> для решения задачки не хватает > ip ro sh > ip ru sh > ip a sh dev eth0 > ip a sh dev eth1 ip ro sh 84.54.1.0/24 dev eth0 proto kernel scope link src 84.54.1.1 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.40 default via 84.54.1.4 dev eth0 ip ru sh 0: from all lookup local 32766: from all lookup main 32767: from all lookup default ip a sh dev eth0 3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 00:80:48:18:34:db brd ff:ff:ff:ff:ff:ff inet 84.54.1.1/24 brd 84.54.1.255 scope global eth0 inet6 fe80::280:48ff:fe18:34db/64 scope link valid_lft forever preferred_lft forever ip a sh dev eth1 2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether d0:27:88:37:98:7c brd ff:ff:ff:ff:ff:ff inet 192.168.0.40/24 brd 192.168.0.255 scope global eth1 inet6 fe80::d227:88ff:fe37:987c/64 scope link valid_lft forever preferred_lft forever
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	5. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от pavel_simple (ok) on 16-Ноя-12, 14:51
	>[оверквотинг удален] > link/ether 00:80:48:18:34:db brd ff:ff:ff:ff:ff:ff > inet 84.54.1.1/24 brd 84.54.208.255 scope global eth0 > inet6 fe80::280:48ff:fe18:34db/64 scope link > valid_lft forever preferred_lft forever > ip a sh dev eth1 > 2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 > link/ether d0:27:88:37:98:7c brd ff:ff:ff:ff:ff:ff > inet 192.168.0.40/24 brd 192.168.0.255 scope global eth1 > inet6 fe80::d227:88ff:fe37:987c/64 scope link > valid_lft forever preferred_lft forever почему проходиться втягивать? вы правила netfilter'а поправили? как они теперь выглядят? iptables-save не соизволите? arp -an 84.54.1.2 тоже будте добры.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от rmsk (ok) on 16-Ноя-12, 14:57
	> почему проходиться втягивать? > вы правила netfilter'а поправили? как они теперь выглядят? iptables-save не соизволите? > arp -an 84.54.1.2 тоже будте добры. нет, правила еще правлю, боюсь накосячить, так как приходится работать на "горячую". arp -an 84.54.1.2 arp: in 59 entries no match found.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от rmsk (ok) on 16-Ноя-12, 15:09
	iptables-save не соизволите? filter :INPUT DROP [0:0] :FORWARD DROP [1:71] :OUTPUT ACCEPT [115:40047] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.0.143/32 -j ACCEPT -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT nat :PREROUTING ACCEPT [254:17252] :POSTROUTING ACCEPT [88:5280] :OUTPUT ACCEPT [88:5280] -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 84.54.1.1 COMMIT Если убираю эти 2 строчки, то почтовые клиенты снаружи не работают, уже проверял: -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от pavel_simple (ok) on 16-Ноя-12, 15:36
	>[оверквотинг удален] > --dport 110 -j ACCEPT > -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > -A FORWARD -s 192.168.0.143/32 -j ACCEPT > -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT > COMMIT > *nat > :PREROUTING ACCEPT [254:17252] > :POSTROUTING ACCEPT [88:5280] > :OUTPUT ACCEPT [88:5280] > -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE это и то, что ниже выполняет одну и ту-же функцию, поэтому стоит определиться или/или >[оверквотинг удален] > COMMIT > Если убираю эти 2 строчки, то почтовые клиенты снаружи не работают, уже > проверял: > -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp > --dport 25 -j ACCEPT > -A FORWARD -d 192.168.0.67/32 -i eth0 -o eth1 -p tcp -m tcp > --dport 110 -j ACCEPT >нет, правила еще правлю, боюсь накосячить, так как приходится работать на "горячую". >arp -an 84.54.1.2 >arp: in 59 entries no match found. отвечаю на оба во первых учитывая вашу сеть на eth1, данный 84.54.1.2 ip должен быть доступен пл ARP'у, раз arp-записи не имеется - соответственно хост не доступен. 2. почтовые клиенты снаружи недоступны совершенно правильно -- т.к. в моём предложении было убрать DNAT и за место него поставить xinetd. выводы. 1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя правила файрвола 2. добиться чтобы сервер в локальной фактически сети был таки доступен. 3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать DNAT+правило в цепочке FORWARD. изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2, это говорит о том, что либо сеть на вашей машине установлена не верно, либо хост 84.54.1.2 думает что он в другой сети или одно из двух (не считая конечно общей вашей запутанности)
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от rmsk (ok) on 16-Ноя-12, 15:42
	> выводы. > 1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя > правила файрвола > 2. добиться чтобы сервер в локальной фактически сети был таки доступен. > 3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать > DNAT+правило в цепочке FORWARD. > изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2, > это говорит о том, что либо сеть на вашей машине установлена > не верно, либо хост 84.54.1.2 думает что он в другой сети > или одно из двух (не считая конечно общей вашей запутанности) Попробую значит xinetd настроить проброс
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	11. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от rmsk (ok) on 19-Ноя-12, 11:17
	>[оверквотинг удален] >> 1. добиться SNAT'ом или маскарадом выхода локальной сети в тырнет, не захламляя >> правила файрвола >> 2. добиться чтобы сервер в локальной фактически сети был таки доступен. >> 3. либо поставить xinetd и пробросить порты снаружи во внутрь, либо сделать >> DNAT+правило в цепочке FORWARD. >> изначально у вас проблема от недоступности в локальной сети 84.54.1.1/24 хоста 84.54.1.2, >> это говорит о том, что либо сеть на вашей машине установлена >> не верно, либо хост 84.54.1.2 думает что он в другой сети >> или одно из двух (не считая конечно общей вашей запутанности) > Попробую значит xinetd настроить проброс Решилось все гораздо проще, добавлением маршрута на эту подсеть через шлюз.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору

2. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+1 +/–
Сообщение от vlb267 (ok) on 16-Ноя-12, 14:33
>но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает. Непонятно куда telnet не отрабатывает.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от rmsk (ok) on 16-Ноя-12, 14:36
	>>но тут недавно установили банк клиент, который так же работает через 110 и 25, с IP - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, ни со шлюза. Проверил traceroute до почтовика, работает. > Непонятно куда telnet не отрабатывает. на почтовик в интернете 84.54.1.2
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	10. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от Vladimir (??) on 18-Ноя-12, 10:35
	> на почтовик в интернете 84.54.1.2 Так , вы из Багдада?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	12. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
	Сообщение от LSTemp (ok) on 20-Ноя-12, 03:28
	>> на почтовик в интернете 84.54.1.2 > Так , вы из Багдада? Да. Там у нас в Багдаде телнетом на любой порт зацепиться можно. А у Вас как?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору

13. " iptables + telnet + pop3 smtp - непонятно отрабатывает"	+/–
Сообщение от LSTemp (ok) on 20-Ноя-12, 03:40
>[оверквотинг удален] > 192.168.0.143 - клиент в локалке > Ситуация такая: > На все сервера, которые я только смог вспомнить, telnet на pop и > smtp из локалки проходит без проблем, но тут недавно установили банк > клиент, который так же работает через 110 и 25, с IP > - 84.54.1.2, но на него telnet не отрабатывает ни с локалки, > ни со шлюза. Проверил traceroute до почтовика, работает. > Попросил товарища проверить этот почтовик, у него все отрабатывает, значит где то > затык у меня. > Прошу помощи, так как моих мозгов уже не хватает. Тут никаких мозгов не хватит. Для начала нормально скажи КАК должно работать и ЧТО не работает. PS воспоминания, товарищей и последние цифры засуньЪ.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору