Как пропускать почту и ещё кое-что мимо Squid`а?

[Mam(O)n]

Таак. А шлюз на клиенте прописан? И dns там работает? nslookup ya.ru

[tdm]

чтобы заработал только Bat, нужно поднять НАТ, но только для 25 и 110 портов. так? я правильно понимаю?

[Tokh]

чтобы заработал только Bat, нужно поднять НАТ, но только для 25 и 110 портов. так? я правильно понимаю?

В принципе да. Но на клиенте надо прописать шлюз по умолчанию - машина делающая NAT. На клиенте надо прописать DNS адреса, это провайдерские адреса.

[tdm]

ясно, а прописывать у юзеров днс провайдера безопасно?
и как же всё таки поднять НАТ для определенных портов?

[Mam(O)n]

ясно, а прописывать у юзеров днс провайдера безопасно?

Ничуть не опасно. Только нужен nat для 53/udp.

[tdm]

nat для 53/udp - это что?

[Mam(O)n]

nat для 53/udp - это что?

Это значит, что нужно разрешить (если конечно это запрещено) транзит и нат пакетов по 53 порту udp протокола. Т.е.:
iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT

[tdm]

вроде понятно.

из википедии:

Все DNS-сервера по стандарту RFC 1035 отвечают на 53 порту TCP и UDP. При отправке запросов ранние версии BIND использовали 53 порт, более новые ведут себя как DNS-клиенты, используя свободные незарегистрированные адреса.

так надо или не надо nat для 53/udp?

[Mam(O)n]

Надо, если провайдерский юзать. Там имелось ввиду про любой исходящий порт. Порт назначения же всегда 53.

[tdm]

Mam(O)n, а как поднять НАТ для избранных портов? те правила, что ты советовал я сделал и карточки сетевые настроены нормально, но почта не работает. помоги, пожалуйста

[Mam(O)n]

Обрати внимание на 36 пост. Там правило, разрешающее 53/udp в интернет.

Пока можешь на время настройки поменять iptables -P FORWARD DROP на iptables -P FORWARD ACCEPT, чтоб разрешить весь транзит.
Пользователь решил продолжить мысль 10 Марта 2010, 22:51:35:А все исходящие с eth0 уже натятся правилом iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

[tdm]

т.е. к твоим правилам добавить
iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
и поменять iptables -P FORWARD DROP на iptables -P FORWARD ACCEPT

а правило по 53 порту куда правильно вставить?

[Mam(O)n]

Пока достаточно iptables -P FORWARD ACCEPT, для теста.

а правило по 53 порту куда правильно вставить?

В такой конфигурации вобщем-то пох, но лучше в конец FORWARD.

[tdm]

т.е. одно только правило вводить
iptables -P FORWARD ACCEPT ?

[Mam(O)n]

Код: [Выделить]

iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD ACCEPT
sysctl net.ipv4.ip_forward=1

Пользователь решил продолжить мысль 10 Марта 2010, 23:19:23:При условии, что eth0 это инет.