Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Iptables и почтовые клиенты в сети  (Прочитано 1298 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Kill_l

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Iptables и почтовые клиенты в сети
« : 15 Февраль 2011, 09:40:19 »
Дорый день! ребят я новечок в линуксе по этому прошу помощи. я поставил ubuntu server 10.10 + squid + sarg  есть 2 сетевых интерфейса eth1 192.168.1.222 смотрит в локалку eth0 192.168.0.33 смотрит в роутер мне нужно через Iptables прокинуть порт 110 и 25 для почтовых клиентов в локалке. ГУРУ помогити пожалуйста!!! буду очень благодарен

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #1 : 15 Февраль 2011, 10:41:30 »
sudo iptables-save -c в студию. посмотрим что у тебя там уже есть

Оффлайн Kill_l

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #2 : 15 Февраль 2011, 11:36:20 »
# Generated by iptables-save v1.4.4 on Tue Feb 15 14:35:36 2011
*nat
:PREROUTING ACCEPT [4780:286844]
:OUTPUT ACCEPT [707:43380]
:POSTROUTING ACCEPT [707:43380]
[1:48] -A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 25,110 -j DNAT --to-destination 192.168.1.222:3128
COMMIT
# Completed on Tue Feb 15 14:35:36 2011
# Generated by iptables-save v1.4.4 on Tue Feb 15 14:35:36 2011
*filter
:INPUT ACCEPT [27795:3429097]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29854:8917482]
[0:0] -A FORWARD -s 192.168.1.0/24 ! -d 192.168.0.0/16 -p tcp -m tcp --dport 25 -j ACCEPT
COMMIT
# Completed on Tue Feb 15 14:35:36 2011

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #3 : 15 Февраль 2011, 11:58:59 »
Цитировать
[0:0] -A FORWARD -s 192.168.1.0/24 ! -d 192.168.0.0/16 -p tcp -m tcp --dport 25 -j ACCEPT
исходя из этого у вас вообще не включен форвардинг
Цитировать
[1:48] -A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 25,110 -j DNAT --to-destination 192.168.1.222:3128
вы сами перенаправляете эти порты через прокси(кстати достаточно простого редиректа -j REDIRECT --to-ports xxxx,DNAT совем не обязательно). зачем тогда  правило в форвард ? настраивайте тогда прокси сервер на нужные порты.
 либо же включайте форвардинг (sudo sysctl net.ipv4.ip_forward=1) убирайте правило из PREROUTING перенаправления портов на прокси.  и добавляйте необходимые правила в FORWARD

Пользователь решил продолжить мысль 15 Февраль 2011, 12:04:56:
да и кстати раз новичок , совету почитать какой-нить howto по iptables , чтобы представлять себе как происходит движение пакетов , что такое политики по умолчанию, форвардинг и много другого интересного. иначе нагородите огород и ничего работать не будет. с такими непростыми вопросами для новичка, нужно хотябы чуть-чуть  разбираться в этом
« Последнее редактирование: 15 Февраль 2011, 12:11:23 от xeon_greg »

Оффлайн Kill_l

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #4 : 15 Февраль 2011, 12:10:38 »
спасибо огромное за ответ, но просто мне это нужно ещё вчера. а почитать я неприменно почитаю. может поподробнее объяснишь как мне на данный момент поступить?
все правила убрал форвардинг включил


# Generated by iptables-save v1.4.4 on Tue Feb 15 15:19:05 2011
*mangle
:PREROUTING ACCEPT [141:11215]
:INPUT ACCEPT [136:11001]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [71:9375]
:POSTROUTING ACCEPT [71:9375]
COMMIT
# Completed on Tue Feb 15 15:19:05 2011
# Generated by iptables-save v1.4.4 on Tue Feb 15 15:19:05 2011
*nat
:PREROUTING ACCEPT [5739:352112]
:OUTPUT ACCEPT [813:49779]
:POSTROUTING ACCEPT [813:49779]
[1:48] -A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 25,110 -j DNAT --to-destinati                                                                      on 192.168.1.222:3128
COMMIT
# Completed on Tue Feb 15 15:19:05 2011
# Generated by iptables-save v1.4.4 on Tue Feb 15 15:19:05 2011
*filter
:INPUT ACCEPT [32332:3742339]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34402:10159779]
COMMIT
# Completed on Tue Feb 15 15:19:05 2011
root@proxy:~#
может подскажешь что можно дальше сделать
« Последнее редактирование: 15 Февраль 2011, 12:20:49 от Kill_l »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #5 : 15 Февраль 2011, 12:22:44 »
стало быть так удаляешь правило из PREROUTING
sudo iptables -t nat D PREROUTING 1далее включаешь форвардинг
sudo sysctl -w net.ipv4.ip_forward=1политика DROP по умолчанию для форварда
sudo iptables -P FORWARD DROPи далее правила для портов на форвардинг
sudo iptables -A FORWARD -p tcp -m multiport --dport 25,110 -j ACCEPT
sudo iptables -A FORWARD -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ну добавляешь необходимые фильтры по IP, если надо (-s или -d  критерии),  да и если это прозрачный прокси то скорее всего у тебя должно быть правило в PREROUTING для перенаправления рабочих портов на прокси(80,8080  и тд). вот в принципе общая модель.
« Последнее редактирование: 15 Февраль 2011, 12:50:18 от xeon_greg »

Оффлайн Kill_l

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #6 : 15 Февраль 2011, 12:48:39 »
sudo iptables -A FORWARD -p tcp -m multiport --dport 25,110 -j ACCEPT
sudo iptables -A FORWARD -p tcp -m conntrack --ctstate RELATED, ESTABLISHED -j ACCEPT
conntrack --ctstate - опечатка? что то он ругается
прокси не прозрачный
« Последнее редактирование: 15 Февраль 2011, 12:50:11 от Kill_l »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #7 : 15 Февраль 2011, 12:50:57 »
у бери пробел между , и ESTABLISHED

Оффлайн Kill_l

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #8 : 15 Февраль 2011, 12:58:40 »
сейчас читаю http://www.opennet.ru/docs/RUS/iptables/ но пойму я всё это не скоро. а то что ты написал правила я применил, но похоже что не работают почтовики (((

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #9 : 15 Февраль 2011, 13:01:00 »
а что у тебя за роутер? авторизация в нем? шлюзы и dns все прописано на сервере ? если да в таком случае нжно еще занатить те порты которые ты будешь форвардить, примерно так
sudo iptables -t nat -A POSTROUTING -o eth0 -p tcp -m multiport --dport 25,110 -j MASQUERADE

Оффлайн Kill_l

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #10 : 15 Февраль 2011, 13:06:40 »
роутер zyxel  прописанным dns добавив последнее правило заработало всё как нужно! спасибо огромное! тепер подскажи как поступить чтобы эти правила работали после перезагрузки системы!? нужно добавить их в rc.local ?

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #11 : 15 Февраль 2011, 13:14:47 »
сохранни сначала все правила что у тебя есть в файл
sudo iptables-save > ~/iptab

если попростому, добавить в rc.local
sysctl -w net.ipv4.ip_forward=1 - для того чтобы включался форвард
iptables-restore < ~/iptab -  восстанавливаем правила из файла
 только вместо тильды напиши полный путь к твоему хоуму
но лучше создать скрипт и добавить его в директорию скриптов поднятия интерфейса
« Последнее редактирование: 15 Февраль 2011, 13:17:47 от xeon_greg »

Оффлайн Kill_l

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #12 : 15 Февраль 2011, 13:18:50 »
если я сижу под рутом то /root/iptab правильно ?

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #13 : 15 Февраль 2011, 13:21:31 »
да. но совет мой тебе -  не сиди под рутом заведи пользователя и используй sudo для получения необходимых привелегий

Оффлайн Kill_l

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Iptables и почтовые клиенты в сети
« Ответ #14 : 15 Февраль 2011, 13:31:38 »
ок пользыватель есть сейчас перейду! спасибо те огромное! очень благодарен за помощь
ещё при запуске  ./rc.local выдаёт строчку  net.ipv4.ip_forward = 1 это означает что ip_forward включен правильно?
« Последнее редактирование: 15 Февраль 2011, 13:39:48 от Kill_l »

 

Страница сгенерирована за 0.061 секунд. Запросов: 24.