Zentyal не пускае на сервер в локальной сети

[Mam(O)n]

-A PREROUTING -d 192.168.2.133 -i eth1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 88.196.210.98

В корне неверно. Должно быть -A PREROUTING -d 88.196.210.98  -i eth1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.2.133
т.е. в трактовке zenytal это скорее всего будет выглядеть так:

Код: [Выделить]

Interface: eth1 LAN
Original destination: 88.196.210.98
Original destination port: 110
Protocol: TCP
Source: Any
Destinations IP: 192.168.2.133
Port: Same

наверное еще конечно и SNAT ещё один понадобится, для пакетов следующих из локалки через шлюз обратно в локалку с заменой адреса источника на 192.168.2.1. Но это уже зависит от того, какие сильные фильтры стоят на интерфейсе у стороны назначения. Как это должно выглядеть в zenytal я не представляю.

[omni64]

Добрый день!
Сервер Zentyal не пускает на внутренний web, mail сервер. Когда захожу на этот сервер по URL, выводится "It works!"(сообщение Zentyal web сервера), а почтовый совсем не видет.

Заранее спасибо за ответ.

так набирать нужно
https://xxx.xxx.xx.xx/ebox

[Psyhos]

так набирать нужно
https://xxx.xxx.xx.xx/ebox
[/quote]

Проблема в том, что не виден из локальной сети сервер, находящийся за Zentyal в локальной сети.
Пользователь решил продолжить мысль 20 Января 2011, 12:35:57:

наверное еще конечно и SNAT ещё один понадобится, для пакетов следующих из локалки через шлюз обратно в локалку с заменой адреса источника на 192.168.2.1. Но это уже зависит от того, какие сильные фильтры стоят на интерфейсе у стороны назначения. Как это должно выглядеть в zenytal я не представляю.

Огромное спасибо! Буду переваривать то, что вы мне написали. Кажется, что проблема именно в этом

[omni64]

Проблема в том, что не виден из локальной сети сервер, находящийся за Zentyal в локальной сети.


вы сами себе противоречите....
Когда захожу на этот сервер по URL, выводится "It works!"(сообщение Zentyal web сервера)
т.е. сервер доступен.

[Psyhos]

Проблема в том, что не виден из локальной сети сервер, находящийся за Zentyal в локальной сети.


вы сами себе противоречите....
Когда захожу на этот сервер по URL, выводится "It works!"(сообщение Zentyal web сервера)
т.е. сервер доступен.

Может не совсем понятно объяснил, попробуюе еще раз.
Я хочу из локальной сети увидеть мой веб сервер, который находится в этой же локальной сети, набираю его URL, а мне отвечает мой шлюз-Zentyal, который должен по идее этот запрос отправить обратно в локальную сеть на вебсервер. А если URL набрать из интернета, то работает правильно - отвечает вебсервер из локальной сети.

Я уже читаю про SNAT дело похоже в нем

[Mam(O)n]

про SNAT дело похоже в нем

Сначала с правилами разберись, оно у тебя так, как сейчас есть даже не D-NAT'ит в локалку из локалки. А S-NAT уже потом, без него тоже может работать.

[Psyhos]

Сейчас у меня вот так, из интернета работает, из локалки - нет, читаю про эти все DNATы

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.3.8 on Thu Jan 20 14:03:43 2011
*nat
:PREROUTING ACCEPT [677:88152]
:POSTROUTING ACCEPT [1568:101854]
:OUTPUT ACCEPT [2747:181766]
:postmodules - [0:0]
:premodules - [0:0]
-A PREROUTING -j premodules
-A PREROUTING -d 88.196.210.98 -i eth0 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.2.133
-A PREROUTING -d 88.196.210.98 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.133
-A PREROUTING -d 88.196.210.98 -i eth0 -p udp -m udp --dport 25 -j DNAT --to-destination 192.168.2.133
-A PREROUTING -d 88.196.210.98 -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.2.133
-A PREROUTING -d 88.196.210.98 -i eth0 -p udp -m udp --dport 110 -j DNAT --to-destination 192.168.2.133
-A PREROUTING -d 88.196.210.98 -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.2.133
-A POSTROUTING -j postmodules
-A POSTROUTING -s ! 88.196.210.98 -o eth0 -j SNAT --to-source 88.196.210.98
-A premodules -s 192.168.2.132 -d ! 192.168.2.1 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A premodules -d ! 192.168.2.1 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
COMMIT
# Completed on Thu Jan 20 14:03:43 2011
# Generated by iptables-save v1.3.8 on Thu Jan 20 14:03:43 2011
*mangle
:PREROUTING ACCEPT [44605:26457944]
:INPUT ACCEPT [41901:25722580]
:FORWARD ACCEPT [2704:735364]
:OUTPUT ACCEPT [45908:26301473]
:POSTROUTING ACCEPT [48200:27020357]
:EBOX-SHAPER - [0:0]
:EBOX-SHAPER-eth0 - [0:0]
:EBOX-SHAPER-eth1 - [0:0]
-A PREROUTING -j CONNMARK --restore-mark
-A PREROUTING -m mark --mark 0x0/0xff -m mac --mac-source 00:00:00:00:00:00 -j MARK --set-mark 0x2
-A PREROUTING -m mark --mark 0x0/0xff -j MARK --set-mark 0x2
-A PREROUTING -j CONNMARK --save-mark
-A OUTPUT -j CONNMARK --restore-mark
-A OUTPUT -m mark --mark 0x0/0xff -j MARK --set-mark 0x2
-A POSTROUTING -j EBOX-SHAPER
-A EBOX-SHAPER -o eth1 -j EBOX-SHAPER-eth1
-A EBOX-SHAPER -o eth0 -j EBOX-SHAPER-eth0
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quicktime -j MARK --set-mark 0x700
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto shoutcast -j MARK --set-mark 0x700
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-itunes -j MARK --set-mark 0x700
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto httpaudio -j MARK --set-mark 0x700
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-rtsp -j MARK --set-mark 0x700
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto live365 -j MARK --set-mark 0x700
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-rtsp
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quicktime
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto httpvideo
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto rtp
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto rtsp
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quicktime
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto shoutcast
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-itunes
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto httpaudio
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-rtsp
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto live365
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto ares
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto fasttrack
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto imesh
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto goboogy
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto kugoo
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto soulseek
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto skypeout
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto mute
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto openft
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto 100bao
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto poco
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto freenet
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto audiogalaxy
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto hotline
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto bittorrent
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto tesla
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto gnutella
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto gnucleuslan
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto napster
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto thecircle
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto edonkey
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto skypetoskype
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto applejuice
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto soribada
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto directconnect
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto xunlei
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto worldofwarcraft
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto halflife2-deathmatch
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto battlefield2142
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto counterstrike-source
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quake1
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto subspace
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto liveforspeed
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto battlefield1942
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto battlefield2
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto armagetron
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto doom3
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quake-halflife
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto mohaa
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto xboxlive
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto dayofdefeat-source
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto teamfortress2
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto yahoo
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto cimd
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto chikka
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto jabber
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto msn-filetransfer
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto msnmessenger
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto aim
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto qq
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto irc
-A EBOX-SHAPER-eth0 -m mark --mark 0x0/0xff00 -m layer7 --l7proto aimwebcontent
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quicktime
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto shoutcast
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-itunes
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto httpaudio
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-rtsp
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto live365
-A EBOX-SHAPER-eth1 -s 192.168.2.1 -m mark --mark 0x0/0xff00 -j MARK --set-mark 0xff00
-A EBOX-SHAPER-eth1 -d 192.168.2.1 -m mark --mark 0x0/0xff00 -j MARK --set-mark 0xff00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-rtsp -j MARK --set-mark 0x800
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quicktime -j MARK --set-mark 0x800
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto httpvideo -j MARK --set-mark 0x800
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto rtp -j MARK --set-mark 0x800
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto rtsp -j MARK --set-mark 0x800
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quicktime -j MARK --set-mark 0x900
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto shoutcast -j MARK --set-mark 0x900
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-itunes -j MARK --set-mark 0x900
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto httpaudio -j MARK --set-mark 0x900
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto http-rtsp -j MARK --set-mark 0x900
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto live365 -j MARK --set-mark 0x900
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto ares -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto fasttrack -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto imesh -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto goboogy -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto kugoo -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto soulseek -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto skypeout -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto mute -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto openft -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto 100bao -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto poco -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto freenet -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto audiogalaxy -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto hotline -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto bittorrent -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto tesla -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto gnutella -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto gnucleuslan -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto napster -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto thecircle -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto edonkey -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto skypetoskype -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto applejuice -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto soribada -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto directconnect -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto xunlei -j MARK --set-mark 0xa00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto worldofwarcraft -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto halflife2-deathmatch -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto battlefield2142 -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto counterstrike-source -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quake1 -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto subspace -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto liveforspeed -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto battlefield1942 -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto battlefield2 -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto armagetron -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto doom3 -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto quake-halflife -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto mohaa -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto xboxlive -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto dayofdefeat-source -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto teamfortress2 -j MARK --set-mark 0xb00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto yahoo -j MARK --set-mark 0xc00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto cimd -j MARK --set-mark 0xc00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto chikka -j MARK --set-mark 0xc00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto jabber -j MARK --set-mark 0xc00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto msn-filetransfer -j MARK --set-mark 0xc00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto msnmessenger -j MARK --set-mark 0xc00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto aim -j MARK --set-mark 0xc00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto qq -j MARK --set-mark 0xc00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto irc -j MARK --set-mark 0xc00
-A EBOX-SHAPER-eth1 -m mark --mark 0x0/0xff00 -m layer7 --l7proto aimwebcontent -j MARK --set-mark 0xc00
COMMIT
# Completed on Thu Jan 20 14:03:43 2011
# Generated by iptables-save v1.3.8 on Thu Jan 20 14:03:43 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:drop - [0:0]
:fdns - [0:0]
:fdrop - [0:0]
:ffwdrules - [0:0]
:fglobal - [0:0]
:fmodules - [0:0]
:fnoexternal - [0:0]
:fnospoof - [0:0]
:fobjects - [0:0]
:fredirects - [0:0]
:ftoexternalonly - [0:0]
:idrop - [0:0]
:iexternal - [0:0]
:iexternalmodules - [0:0]
:iglobal - [0:0]
:iintservs - [0:0]
:imodules - [0:0]
:inoexternal - [0:0]
:inointernal - [0:0]
:inospoof - [0:0]
:log - [0:0]
:odrop - [0:0]
:oglobal - [0:0]
:ointernal - [0:0]
:omodules - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j inospoof
-A INPUT -j iexternalmodules
-A INPUT -j iexternal
-A INPUT -j inoexternal
-A INPUT -j imodules
-A INPUT -j iintservs
-A INPUT -j iglobal
-A INPUT -p icmp ! -f -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -j idrop
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j fnospoof
-A FORWARD -j fredirects
-A FORWARD -j fmodules
-A FORWARD -j ffwdrules
-A FORWARD -j fnoexternal
-A FORWARD -j fdns
-A FORWARD -j fobjects
-A FORWARD -j fglobal
-A FORWARD -p icmp ! -f -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -p icmp ! -f -m icmp --icmp-type 0 -j ACCEPT
-A FORWARD -p icmp ! -f -m icmp --icmp-type 3 -j ACCEPT
-A FORWARD -p icmp ! -f -m icmp --icmp-type 4 -j ACCEPT
-A FORWARD -p icmp ! -f -m icmp --icmp-type 11 -j ACCEPT
-A FORWARD -p icmp ! -f -m icmp --icmp-type 12 -j ACCEPT
-A FORWARD -j fdrop
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j ointernal
-A OUTPUT -j omodules
-A OUTPUT -j oglobal
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 3 -j ACCEPT
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT -p icmp ! -f -m icmp --icmp-type 12 -j ACCEPT
-A OUTPUT -j odrop
-A drop -m limit --limit 50/min --limit-burst 10 -j LOG --log-prefix "ebox-firewall drop " --log-level 7
-A drop -j DROP
-A fdns -d 127.0.0.1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A fdns -d 168.95.1.1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A fdrop -j drop
-A ffwdrules -i eth1 -j RETURN
-A fglobal -p tcp -m tcp --dport 443 -j ACCEPT
-A fglobal -j ACCEPT
-A fnoexternal -i eth0 -m state --state NEW -j fdrop
-A fnospoof -s 192.168.2.132 -m mac ! --mac-source 00:16:17:E1:2A:96 -j fdrop
-A fnospoof -s 88.196.210.96/255.255.255.252 -i ! eth0 -j fdrop
-A fnospoof -s 192.168.2.0/255.255.255.0 -i ! eth1 -j fdrop
-A fredirects -d 192.168.2.133 -i eth0 -p udp -m state --state NEW -m udp --dport 80 -j ACCEPT
-A fredirects -d 192.168.2.133 -i eth0 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A fredirects -d 192.168.2.133 -i eth0 -p udp -m state --state NEW -m udp --dport 25 -j ACCEPT
-A fredirects -d 192.168.2.133 -i eth0 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A fredirects -d 192.168.2.133 -i eth0 -p udp -m state --state NEW -m udp --dport 110 -j ACCEPT
-A fredirects -d 192.168.2.133 -i eth0 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A ftoexternalonly -o eth0 -j ACCEPT
-A ftoexternalonly -j fdrop
-A idrop -j drop
-A iexternal -i eth1 -j RETURN
-A iexternalmodules -i eth1 -j RETURN
-A iglobal -p tcp -m tcp --dport 8888 -m state --state NEW -j ACCEPT
-A iglobal -p tcp -m tcp --dport 389 -m state --state NEW -j drop
-A iglobal -p udp -m udp --dport 123 -m state --state NEW -j ACCEPT
-A iglobal -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A iglobal -p udp -m udp --dport 67 -m state --state NEW -j ACCEPT
-A iglobal -p udp -m udp --dport 69 -m state --state NEW -j ACCEPT
-A iglobal -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A iglobal -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A imodules -s 192.168.2.132 -i eth1 -p tcp -m state --state NEW -m tcp --dport 3129 -j ACCEPT
-A imodules -s 192.168.2.132 -i eth1 -p tcp -m state --state NEW -m tcp --dport 3128 -j DROP
-A imodules -i eth1 -p tcp -m state --state NEW -m tcp --dport 3129 -j ACCEPT
-A imodules -p tcp -m state --state NEW -m tcp --dport 3128 -j DROP
-A inoexternal -i eth0 -m state --state NEW -j idrop
-A inospoof -s 192.168.2.132 -m mac ! --mac-source 00:16:17:E1:2A:96 -j idrop
-A inospoof -s 88.196.210.96/255.255.255.252 -i ! eth0 -j idrop
-A inospoof -s 192.168.2.0/255.255.255.0 -i ! eth1 -j idrop
-A log -m limit --limit 50/min --limit-burst 10 -j LOG --log-prefix "ebox-firewall log " --log-level 7
-A log -j RETURN
-A odrop -j drop
-A oglobal -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A oglobal -m state --state NEW -j ACCEPT
-A ointernal -d 127.0.0.1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A ointernal -d 168.95.1.1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A ointernal -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A ointernal -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A ointernal -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT
-A omodules -p tcp -m tcp --dport 80 -j ACCEPT
-A omodules -p tcp -m tcp --dport 80 -j ACCEPT
-A omodules -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A omodules -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
COMMIT
# Completed on Thu Jan 20 14:03:43 2011

[Mam(O)n]

Ну неправильно это, так не будет работать. Тут либо не указывать входящий интерфейс вообще, либо дублировать правило проброса c входящим интерфейсом eth1 надо.

[Karl500]

Дурацкий вопрос: а изнутри Вы на какой адрес идете? Не с DNS ли проблема? Если попробовать (изнутри) на http://88.196.210.98 - куда попадете?

[Psyhos]

Дурацкий вопрос: а изнутри Вы на какой адрес идете? Не с DNS ли проблема? Если попробовать (изнутри) на http://88.196.210.98 - куда попадете?

Попадаю туда же, куда и с URL - на страницу апача Zentyal - "It works!"

Mam(O)n Вы тысячу раз правы, я скоро допетрю как это сделать. Еще, в моем iptables-save нет строчки MASQUERADE не в ней ли дело???

[Mam(O)n]

нет строчки MASQUERADE не в ней ли дело???

MASQUERADE это тот же SNAT только с автоматическим определением адреса для подмены.

[Psyhos]

нет строчки MASQUERADE не в ней ли дело???

MASQUERADE это тот же SNAT только с автоматическим определением адреса для подмены.

Да, вы опять правы!

Я кажется нарыл решение, но его вопложение должен отложить до следующего понедельника, вот оно:
http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET

[Mam(O)n]

Правильно копаешь 

А если отмотать на начало этой страницы, то можно увидеть, где я приводил пример, как это правило должно выглядеть. Но тогда какой смысл в zenytal останется, если его отстранить от формирования правил? ...

[Psyhos]

Но тогда какой смысл в zenytal останется, если его отстранить от формирования правил? ...

Получается, что это его особенность без правки руками не обойтись. Даже в девайсе "рутер" когда ставиш перенаправление порта, он сам все далает и для внешних и для внутренних хостов, а тут нет.

Кстати, на форуме Zentyaд.org эта проблема решена путем подставки девайса "рутер" перед сервером Zentyal и подключением к нему("к девайсу") вебсервера.

Я все-таки хочу (с вашей помощью настоить руками. Ну и попробую найти где это делается силами Zentyal-a

[Mam(O)n]

путем подставки девайса "рутер"

А ведь и далеко не каждый "рутер" умеет такое. Я на нашем форуме уже много криков помощи видел по этой теме.

Я все-таки хочу (с вашей помощью настоить руками.

Ну тогда сделай так, как я говорил в первом посте на второй страничке:

Код: [Выделить]

Interface: eth1 LAN
Original destination: 88.196.210.98
Original destination port: 80
Protocol: TCP
Source: Any
Destinations IP: 192.168.2.133
Port: Same