Не работает NAT

[cr0vv]

Добрый день! Надеюсь на Вашу помощь, весь форум обрыскал. Поднял прокси сервер SQUID на Ubuntu 16.04.4, настроил NAT для проброса портов на почтовый сервер iRedmail. Суть проблемы: NAT (проброс портов) работает от силы минут 10, а бывает вообще не работает. Приходится постоянно перезапускать сервак, что не есть хорошо.
Конфигурация сети: enp1s0 - WAN белый ip X.X.X.X, enp2s0 - LAN ip 10.13.0.1, ip почтового сервера 10.13.0.10

Файл /etc/nat (прописан в /etc/network/interfaces "post-up /etc/nat")

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i enp2s0 -s 10.13.0.10 -p tcp --dport 80 -j ACCEPT   # MailServer

iptables -A FORWARD -i enp2s0  -p tcp --dport 80 -j REJECT
iptables -A FORWARD -i enp2s0 -o enp1s0 -j ACCEPT

#NAT
iptables -t nat -A POSTROUTING -o enp1s0 -s 10.13.0.0/16 -j MASQUERADE
iptables -A FORWARD -i enp1s0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i enp1s0 -p tcp --dport 587 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 587 -j DNAT --to-destination 10.13.0.10:587
iptables -t nat -A POSTROUTING -p tcp --dst 10.13.0.10 --dport 587 -j SNAT --to-source X.X.X.X
#-------
iptables -A FORWARD -i enp1s0 -p tcp --dport 465 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 465 -j DNAT --to-destination 10.13.0.10:465
iptables -t nat -A POSTROUTING -p tcp --dst 10.13.0.10 --dport 465 -j SNAT --to-source X.X.X.X
#-------
iptables -A FORWARD -i enp1s0 -p tcp --dport 995 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 995 -j DNAT --to-destination 10.13.0.10:995
iptables -t nat -A POSTROUTING -p tcp --dst 10.13.0.10 --dport 995 -j SNAT --to-source X.X.X.X
#-------
iptables -A FORWARD -i enp1s0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 80 -j DNAT --to-destination 10.13.0.10:80
iptables -t nat -A POSTROUTING -p tcp --dst 10.13.0.10 --dport 80 -j SNAT --to-source X.X.X.X
#-------
iptables -A FORWARD -i enp1s0 -p tcp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 443 -j DNAT --to-destination 10.13.0.10:443
iptables -t nat -A POSTROUTING -p tcp --dst 10.13.0.10 --dport 443 -j SNAT --to-source X.X.X.X
#-------
iptables -A FORWARD -i enp1s0 -p tcp --dport 25 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 25 -j DNAT --to-destination 10.13.0.10:25
iptables -t nat -A POSTROUTING -p tcp --dst 10.13.0.10 --dport 25 -j SNAT --to-source X.X.X.X
#-------
iptables -A FORWARD -i enp1s0 -p tcp --dport 110 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 110 -j DNAT --to-destination 10.13.0.10:110
iptables -t nat -A POSTROUTING -p tcp --dst 10.13.0.10 --dport 110 -j SNAT --to-source X.X.X.X
#-------
iptables -A FORWARD -i enp1s0 -p tcp --dport 143 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 143 -j DNAT --to-destination 10.13.0.10:143
iptables -t nat -A POSTROUTING -p tcp --dst 10.13.0.10 --dport 143 -j SNAT --to-source X.X.X.X
#-------
iptables -A FORWARD -i enp1s0 -p tcp --dport 993 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 993 -j DNAT --to-destination 10.13.0.10:993
iptables -t nat -A POSTROUTING -p tcp --dst 10.13.0.10 --dport 993 -j SNAT --to-source X.X.X.X

iptables -A FORWARD -i enp1s0 -o enp2s0 -j REJECT

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Fri May 25 09:08:42 2018
*nat
:PREROUTING ACCEPT [45544:2617711]
:INPUT ACCEPT [5776:358225]
:OUTPUT ACCEPT [7110:558003]
:POSTROUTING ACCEPT [7110:558003]
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 587 -j DNAT --to-destination 10.13.0.10:587
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 465 -j DNAT --to-destination 10.13.0.10:465
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 995 -j DNAT --to-destination 10.13.0.10:995
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.13.0.10:80
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.13.0.10:443
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.13.0.10:25
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.13.0.10:110
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 143 -j DNAT --to-destination 10.13.0.10:143
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 993 -j DNAT --to-destination 10.13.0.10:993
-A POSTROUTING -s 10.13.0.0/16 -o enp1s0 -j MASQUERADE
-A POSTROUTING -d 10.13.0.10/32 -p tcp -m tcp --dport 587 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 10.13.0.10/32 -p tcp -m tcp --dport 465 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 10.13.0.10/32 -p tcp -m tcp --dport 995 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 10.13.0.10/32 -p tcp -m tcp --dport 80 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 10.13.0.10/32 -p tcp -m tcp --dport 443 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 10.13.0.10/32 -p tcp -m tcp --dport 25 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 10.13.0.10/32 -p tcp -m tcp --dport 110 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 10.13.0.10/32 -p tcp -m tcp --dport 143 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 10.13.0.10/32 -p tcp -m tcp --dport 993 -j SNAT --to-source X.X.X.X
COMMIT
# Completed on Fri May 25 09:08:42 2018
# Generated by iptables-save v1.6.0 on Fri May 25 09:08:42 2018
*filter
:INPUT ACCEPT [288046:224224611]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [326063:220141904]
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 10.13.0.2/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.3/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.5/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.7/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.10/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.16/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.17/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.18/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.20/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.90/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.41/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.42/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.43/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.44/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.13.0.45/32 -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i enp2s0 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i enp2s0 -o enp1s0 -j ACCEPT
-A FORWARD -i enp1s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp1s0 -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD -i enp1s0 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -i enp1s0 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -i enp1s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i enp1s0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i enp1s0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i enp1s0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i enp1s0 -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -i enp1s0 -p tcp -m tcp --dport 993 -j ACCEPT
-A FORWARD -i enp1s0 -o enp2s0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri May 25 09:08:42 2018

iptables -L -n -t nat -v

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Chain PREROUTING (policy ACCEPT 56353 packets, 3209K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            X.X.X.X         tcp dpt:587 to:10.13.0.10:587
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            X.X.X.X         tcp dpt:465 to:10.13.0.10:465
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            X.X.X.X         tcp dpt:995 to:10.13.0.10:995
    2   100 DNAT       tcp  --  *      *       0.0.0.0/0            X.X.X.X         tcp dpt:80 to:10.13.0.10:80
    6   360 DNAT       tcp  --  *      *       0.0.0.0/0            X.X.X.X         tcp dpt:443 to:10.13.0.10:443
    3   160 DNAT       tcp  --  *      *       0.0.0.0/0            X.X.X.X         tcp dpt:25 to:10.13.0.10:25
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            X.X.X.X         tcp dpt:110 to:10.13.0.10:110
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            X.X.X.X         tcp dpt:143 to:10.13.0.10:143
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            X.X.X.X         tcp dpt:993 to:10.13.0.10:993

Chain INPUT (policy ACCEPT 7222 packets, 444K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 8896 packets, 695K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 8896 packets, 695K bytes)
 pkts bytes target     prot opt in     out     source               destination
45295 2568K MASQUERADE  all  --  *      enp1s0  10.13.0.0/16         0.0.0.0/0
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            10.13.0.10           tcp dpt:587 to:X.X.X.X
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            10.13.0.10           tcp dpt:465 to:X.X.X.X
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            10.13.0.10           tcp dpt:995 to:X.X.X.X
    2   100 SNAT       tcp  --  *      *       0.0.0.0/0            10.13.0.10           tcp dpt:80 to:X.X.X.X
    6   360 SNAT       tcp  --  *      *       0.0.0.0/0            10.13.0.10           tcp dpt:443 to:X.X.X.X
    3   160 SNAT       tcp  --  *      *       0.0.0.0/0            10.13.0.10           tcp dpt:25 to:X.X.X.X
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            10.13.0.10           tcp dpt:110 to:X.X.X.X
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            10.13.0.10           tcp dpt:143 to:X.X.X.X
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            10.13.0.10           tcp dpt:993 to:X.X.X.X

Заранее премного благодарен! 

[Int_20h]

А что не работает-то?

И вообще лучше такие вещи на чем-то одном тестировать (на одном порту). Тогда другим не придется километровые настройки изучать.

[cr0vv]

NAT отваливается через небольшой промежуток времени. Почта наружу перестает работать.

[Int_20h]

Круто! А логи будут какие-нибудь? Детальное описание, что и как отваливается, выхлоп tcpdump, traceroute....

Судя по тому, что вы написали можно построить миллион предположений, как именно у вас "отваливается NAT":
1. Администратор у провайдера вас недолюбливает. Поэтому пока вы все настраиваете, издевается над вами. Через случайное время с момента поднятия линка запрещает траффик в сторону почтового сервера. Вы пишете сюда, а он над вами смеется.
2. ....

[AnrDaemon]

Зачем после MASQUERADE у вас SNAT?
Почему conntrack в такой глуши?
Зачем глобальный REJECT?

[cr0vv]

Зачем после MASQUERADE у вас SNAT?
Почему conntrack в такой глуши?
Зачем глобальный REJECT?

REJECT чтобы ограничить доступ извне. Насчет SNAT, получается можно убрать все POSTROUTING? Про conntrack не совсем понял, можно поподробнее. Сильно не пинайте, с Ubuntu только начал дружить.

Круто! А логи будут какие-нибудь? Детальное описание, что и как отваливается, выхлоп tcpdump, traceroute....

Судя по тому, что вы написали можно построить миллион предположений, как именно у вас "отваливается NAT":
1. Администратор у провайдера вас недолюбливает. Поэтому пока вы все настраиваете, издевается над вами. Через случайное время с момента поднятия линка запрещает траффик в сторону почтового сервера. Вы пишете сюда, а он над вами смеется.
2. ....

100% это не провайдер. Логи будут завтра. Выяснил закономерность: при первом обращении к 25 порту задержка ~3мс, при следующих попытках увеличивается, что в итоге приводит к неработоспособности. По внутреннему IP все работает.

[Гамлиэль Фишкин]

при первом обращении к 25 порту задержка ~3мс, при следующих попытках увеличивается, что в итоге приводит к неработоспособности

Насколько часты обращения к 25 порту? Более-менее все IP-адреса, выдаваемые провайдерами, внесены в чёрные списки как предназначенные только для домашего использования: отправить письмо из почтовой программы можно, а держать SMTP-сервер — не совсем. Это сделано из-за того что мало кто держит до́ма SMTP-сервер, а гораздо чаще домашние компьютеры бывают заражены и втайне от пользователя рассылают спам. Можете проверить свой IP-адрес на dnsbl.spfbl.net.

[Int_20h]

REJECT чтобы ограничить доступ извне. Насчет SNAT, получается можно убрать все POSTROUTING?

Дефолтное поведение цепочки FORWARD - не пропускать пакет, если явно не задан ACCEPT. Так зачем у вас глобальный REJECT?

Насчет POSTROUTING - вам бы самому разобраться, что вы там творите. На текущий момент вы подменяете отправителя во всех пересылаемых пакетах внешним IP своего шлюза. Для почтовика все выглядит так, как будто это шлюз с ним устанавливает все соединения. Не знаю, что там у вас за почтовый сервер и как он настроен, но подозреваю, что там есть защита от спама, которая не позволяет одному отправителю приконнектится к серверу 1000 раз в минуту, потому что это поведение спаммера, а не честного отправителя. А вы все свои входящие соединения превращаете в соединения, инициированные шлюзом.

Прочитайте:
1. Документацию но SNAT
2. Логи своего почтовика.

[cr0vv]

Насколько часты обращения к 25 порту? Более-менее все IP-адреса, выдаваемые провайдерами, внесены в чёрные списки как предназначенные только для домашего использования: отправить письмо из почтовой программы можно, а держать SMTP-сервер — не совсем. Это сделано из-за того что мало кто держит до́ма SMTP-сервер, а гораздо чаще домашние компьютеры бывают заражены и втайне от пользователя рассылают спам. Можете проверить свой IP-адрес на dnsbl.spfbl.net.

это рабочая корпоративная почта, ip в базе нет, первым делом проверил.

Дефолтное поведение цепочки FORWARD - не пропускать пакет, если явно не задан ACCEPT. Так зачем у вас глобальный REJECT?

Насчет POSTROUTING - вам бы самому разобраться, что вы там творите. На текущий момент вы подменяете отправителя во всех пересылаемых пакетах внешним IP своего шлюза. Для почтовика все выглядит так, как будто это шлюз с ним устанавливает все соединения. Не знаю, что там у вас за почтовый сервер и как он настроен, но подозреваю, что там есть защита от спама, которая не позволяет одному отправителю приконнектится к серверу 1000 раз в минуту, потому что это поведение спаммера, а не честного отправителя. А вы все свои входящие соединения превращаете в соединения, инициированные шлюзом.

Смущает то что веб-морда iRedmail то же перестает работать с внешки. Так же не работает rdp на компьютер с Windows 7. Для rdp правила идентичные прописал.

[AnrDaemon]

Повторяю ещё раз - разберитесь, какое правило что делает.
На форуме полно примеров и шаблонов.
Хотя бы возьмите пример из моего спойлера https://forum.ubuntu.ru/index.php?topic=99586.msg756207#msg756207
Сейчас у вас жуткая неразбериха и куча мусора.
Неудивительно, что ничего не работает.

[cr0vv]

Всем спасибо, разобрался!  Убрал все SNAT и REJECT, поменял порядок и явно указал сетевые интерфейсы.

[Int_20h]

В причине-то разобрались?