форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение		[ Отслеживать ]

"Работа Outlook, минуя squid"	+/–
Сообщение от Premio (ok) on 22-Апр-13, 10:23
Всем доброго времени суток. Помогите, пожалуйста, пустить порты 25, 110 мимо squid.   Squid и iptables настраиваю первый раз, поэтому заранее приношу извинения за ламерские вопросы   В общем имеется ubuntu 12.04 LTS, установлен squid3. eth0 смотрит в инет, eth1 смотрит в локалку. Особых проблем с настройкой прокси не испытал, комп подключенный к прокси ходит в инет только с ip-адресами указанной подсети. Столкнулся с такой проблемой, что не работает outlook, я так понял, что squid не умеет работать с портами 25, 110. ОК, вычитал что решить проблему можно используя IPTABLES. Почитал кое-какие темы на форумах и в этом в том числе, пробую делать - не получается, outlook говорит, что узел не найден. Опишу последовательность моих действий.   В корне /etc создал файл с именем iptables-rules, сделал его исполняемым.Вот содержимое файла: echo "1" > /proc/sys/net/ipv4/ip_forward iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -t nat -F iptables -A FORWARD -i eth1 -s 192.168.60.0/24 -p tcp -m tcp -m multiport --dports 25,110 -j ACCEPT iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -j LOG iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Скорее всего наверное косяк где-то в этом конфиге, так как писал в первый раз и, честно говоря, не совсем еще понял как работает написанное мной, только в общих чертах. В общем дальше я запускаю этот файл, ошибок никаких не дает, но и почта не работает. Речь о том, чтобы добавить его в автозагрузку пока не идет, для начала, нужно что бы все хотя бы так заработало. Да, форвардинг включен и в файле /etc/sysctl.conf добавил строчку net.ipv4.ip_forward = 1 Вывод iptables -L: Chain INPUT (policy ACCEPT) target     prot opt source               destination         Chain FORWARD (policy ACCEPT) target     prot opt source               destination         ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED Chain OUTPUT (policy ACCEPT) target     prot opt source               destination
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Работа Outlook, минуя squid"	+/–
Сообщение от Premio (ok) on 22-Апр-13, 10:28
Извиняюсь, вывод iptables -L такой: Chain INPUT (policy ACCEPT) target     prot opt source               destination         Chain FORWARD (policy DROP) target     prot opt source               destination         ACCEPT     tcp  --  192.168.60.0/24      anywhere             tcp multiport dports smtp,pop3 ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED LOG        all  --  anywhere             anywhere             LOG level warning Chain OUTPUT (policy ACCEPT) target     prot opt source               destination
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Работа Outlook, минуя squid"	+/–
	Сообщение от PavelR (ok) on 22-Апр-13, 11:21
	Идти и читать книжки, статьи, документацию.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Работа Outlook, минуя squid"	+/–
	Сообщение от Premio (ok) on 22-Апр-13, 11:27
	> Идти и читать книжки, статьи, документацию. На основе прочитанного и было все сделано. Не один день проторчал в инете. Попробовал сделать. Не получилось. Обратился на форум, а меня шлют снова читать. Зачем тогда нужны форумы? Я так полагаю, чтобы получать и делиться информацией и знаниями Добавлю вывод iptables-save:     # Generated by iptables-save v1.4.12 on Mon Apr 22 13:02:08 2013     *filter     :INPUT ACCEPT [149:70399]     :FORWARD DROP [0:0]     :OUTPUT ACCEPT [177:65153]     -A FORWARD -s 192.168.60.0/24 -i eth1 -p tcp -m tcp -m multiport --dports 25,110 -j ACCEPT     -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT     -A FORWARD -j LOG     COMMIT     # Completed on Mon Apr 22 13:02:08 2013     # Generated by iptables-save v1.4.12 on Mon Apr 22 13:02:08 2013     *nat     :PREROUTING ACCEPT [4:632]     :INPUT ACCEPT [4:632]     :OUTPUT ACCEPT [17:1023]     :POSTROUTING ACCEPT [1:61]     -A POSTROUTING -o eth0 -j MASQUERADE     COMMIT     # Completed on Mon Apr 22 13:02:08 2013 Если я сохраняю в файл /etc/iptables-rules выданное этой командой то потом при запуске этого файли мне выдает кучу ошибок
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Работа Outlook, минуя squid"	+/–
	Сообщение от PavelR (ok) on 22-Апр-13, 11:40
	>> Идти и читать книжки, статьи, документацию. > На основе прочитанного и было все сделано. Не один день проторчал в > инете. Попробовал сделать. Не получилось. Обратился на форум, а меня шлют > снова читать. Зачем тогда нужны форумы? Я так полагаю, чтобы получать > и делиться информацией и знаниями потому что это разжевано сотни раз, нужно только прочитать и понять. Опять же, это достаточно хорошо задокументировано. поясните мне, с чего мне вдруг надо быть уверенным, что вы поймете написанное именно мной, если вы не смогли понять написанное другими в других темах форумов, статьях, документации ? > Если я сохраняю в файл /etc/iptables-rules выданное этой командой то потом при > запуске этого файли мне выдает кучу ошибок а кто сказал, что его нужно запускать ? Его запускать не надо.  man iptables-save на тему SEE ALSO .
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Работа Outlook, минуя squid"	+/–
	Сообщение от Premio (ok) on 22-Апр-13, 12:18
	>[оверквотинг удален] >> и делиться информацией и знаниями > потому что это разжевано сотни раз, нужно только прочитать и понять. Опять > же, это достаточно хорошо задокументировано. > поясните мне, с чего мне вдруг надо быть уверенным, что вы поймете > написанное именно мной, если вы не смогли понять написанное другими в > других темах форумов, статьях, документации ? >> Если я сохраняю в файл /etc/iptables-rules выданное этой командой то потом при >> запуске этого файли мне выдает кучу ошибок > а кто сказал, что его нужно запускать ? Его запускать не надо. >  man iptables-save на тему SEE ALSO . Спасибо хотя бы за это. Просто мне кажется что мой конфиг более ли менее правильный, ведь сколько конфигов пересмотрел у других все примерно так с учетом спецификации сети. Где-то либо мелочь либо опечатка.. нашел команду iptables-restore /etc/iptables-rules выполнил ее. Теперь дошло как перегружать IPTABLES. Получается при выполнении этой команды перезагрузка компа не обязательна?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Работа Outlook, минуя squid"	+/–
	Сообщение от PavelR (ok) on 22-Апр-13, 12:39
	Получается при выполнении этой команды перезагрузка компа не обязательна? перезагрузка компа - это магическое действо из мира виндовс. в мире nix-систем применяется крайне редко.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

5. "Работа Outlook, минуя squid"	+/–
Сообщение от name (??) on 22-Апр-13, 12:13
> - не получается, outlook говорит, что узел не найден. Опишу последовательность > моих действий. первая подсказка DNS
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Работа Outlook, минуя squid"	+/–
	Сообщение от Premio (ok) on 22-Апр-13, 12:24
	>> - не получается, outlook говорит, что узел не найден. Опишу последовательность >> моих действий. > первая подсказка DNS Я так понимаю нужно в IPTABLES добавить что-то типа -A INPUT -p tcp --dport 53 -j ACCEPT и -A OUTPUT -p tcp --dport 53 -j ACCEPT. Вопрос: принципиально ли в какое место конфига его добавлять? В начало или конец?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Работа Outlook, минуя squid"	+/–
	Сообщение от PavelR (ok) on 22-Апр-13, 12:40
	>>> - не получается, outlook говорит, что узел не найден. Опишу последовательность >>> моих действий. >> первая подсказка DNS > Я так понимаю нужно в IPTABLES добавить что-то типа -A INPUT -p > tcp --dport 53 -j ACCEPT > и -A OUTPUT -p tcp --dport 53 -j ACCEPT. неправильно. > Вопрос: принципиально ли в какое место конфига его добавлять? В начало или > конец? очередность правил в списке правил таблицы имеет значение. как оно будет записано в файле - это вторично, но в списке правил таблицы iptables - должно быть в правильном порядке.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Работа Outlook, минуя squid"	+/–
	Сообщение от Premio (ok) on 22-Апр-13, 13:36
	>[оверквотинг удален] >>> первая подсказка DNS >> Я так понимаю нужно в IPTABLES добавить что-то типа -A INPUT -p >> tcp --dport 53 -j ACCEPT >> и -A OUTPUT -p tcp --dport 53 -j ACCEPT. > неправильно. >> Вопрос: принципиально ли в какое место конфига его добавлять? В начало или >> конец? > очередность правил в списке правил таблицы имеет значение. как оно будет записано > в файле - это вторично, но в списке правил таблицы iptables > - должно быть в правильном порядке. Вроде как решился вопрос. В общем добавил два правила -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT Затем прописал на клиентской машине DNS провайдера и все заработало. И кстати пинг с клиентской машины тоже заработал. Правда только по ip адресу, пинг по домену не пашет. Добавить то добавил но если вам не трудно могли бы вы объяснить вкратце суть этих правил? С Input и output понятно исходящий и входящий DNS. Меня интересуют опции sports и dports. И еще отличия протоколов udp и tcp. То есть если я пишу правила с udp то на клиентской машине нужно прописывать DNS провайдера. Если пишу tcp то DNS провайдера не нужен, достаточно указать днс-ом IP сетевухи сервера, смотрящего в локалку. Почему так? Потому что tcp это протокол более надежный без потреи пакетов а udp нет?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Работа Outlook, минуя squid"	+/–
	Сообщение от Premio (ok) on 22-Апр-13, 13:46
	>[оверквотинг удален] > пинг с клиентской машины тоже заработал. Правда только по ip адресу, > пинг по домену не пашет. > Добавить то добавил но если вам не трудно могли бы вы объяснить > вкратце суть этих правил? С Input и output понятно исходящий и > входящий DNS. Меня интересуют опции sports и dports. И еще отличия > протоколов udp и tcp. То есть если я пишу правила с > udp то на клиентской машине нужно прописывать DNS провайдера. Если пишу > tcp то DNS провайдера не нужен, достаточно указать днс-ом IP сетевухи > сервера, смотрящего в локалку. Почему так? Потому что tcp это протокол > более надежный без потреи пакетов а udp нет? Прошу прощения, туплю. У меня стояло FORWARD ACCEPT . Поэтому и все заработало. Прописывал для проверки и забыл убрать. Проболжаю поиски в общем)
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Работа Outlook, минуя squid"	+/–
	Сообщение от name (??) on 22-Апр-13, 13:51
	вам нужно понять разницу между INPUT OUTPUT FORWARD так же нужно понять разницу между -I и -A
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Работа Outlook, минуя squid"	+/–
	Сообщение от Premio (ok) on 22-Апр-13, 13:53
	> Прошу прощения, туплю. У меня стояло FORWARD ACCEPT . Поэтому и все > заработало. Прописывал для проверки и забыл убрать. Проболжаю поиски в общем) Пардон за флуд, тороплюсь просто.. В общем прописанные правила -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT работают. Почта с mail.ru принимается. Но с gmail не принимается. Прием идет по 995 порту (ssl защита) пробовал в правила добавлять 995 порт через запятую - не работает.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Работа Outlook, минуя squid"	+/–
	Сообщение от Premio (ok) on 26-Апр-13, 12:00
	Проблему с почтой решил с IPTABLES разобрался, сейчас все прекрасно работает. Еще такая проблемка. Есть у нас на фирме одна специализированная программка которая использует 80 порт. В iptables даю доступ к 80 порту из explorer убираю настройки прокси программка пашет. Но открыв доступ к 80 порту я даю возможность ходить мимо squid что крайне нежелательно. В самом squid порт 80 прописан и все сайты через него работают. Но эта программа не хочет, только когда даю доступ на 80 порт в IPTABLES, тогда работает. В самой программе сетевых настроек вообще нет. Собственно вопрос: как заставить ее работать по другому порту либо как заставить ее работать не открывая 80 порт всем подряд?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Работа Outlook, минуя squid"	+/–
	Сообщение от Premio (ok) on 26-Апр-13, 12:05
	> Проблему с почтой решил с IPTABLES разобрался, сейчас все прекрасно работает. > Еще такая проблемка. Есть у нас на фирме одна специализированная программка которая > использует 80 порт. В iptables даю доступ к 80 порту из > explorer убираю настройки прокси программка пашет. Но открыв доступ к 80 > порту я даю возможность ходить мимо squid что крайне нежелательно. В > самом squid порт 80 прописан и все сайты через него работают. > Но эта программа не хочет, только когда даю доступ на 80 > порт в IPTABLES, тогда работает. В самой программе сетевых настроек вообще > нет. Собственно вопрос: как заставить ее работать по другому порту либо > как заставить ее работать не открывая 80 порт всем подряд? Кстати может наведет на какуюто мысль: программа выдает такую ошибку "object reference not set to an instance of an object" . При прямом доступе в инет такого нет.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема