Iptables и почтовые клиенты в сети

[Kill_l]

Дорый день! ребят я новечок в линуксе по этому прошу помощи. я поставил ubuntu server 10.10 + squid + sarg  есть 2 сетевых интерфейса eth1 192.168.1.222 смотрит в локалку eth0 192.168.0.33 смотрит в роутер мне нужно через Iptables прокинуть порт 110 и 25 для почтовых клиентов в локалке. ГУРУ помогити пожалуйста!!! буду очень благодарен

[xeon_greg]

sudo iptables-save -c в студию. посмотрим что у тебя там уже есть

[Kill_l]

# Generated by iptables-save v1.4.4 on Tue Feb 15 14:35:36 2011
*nat
:PREROUTING ACCEPT [4780:286844]
:OUTPUT ACCEPT [707:43380]
:POSTROUTING ACCEPT [707:43380]
[1:48] -A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 25,110 -j DNAT --to-destination 192.168.1.222:3128
COMMIT
# Completed on Tue Feb 15 14:35:36 2011
# Generated by iptables-save v1.4.4 on Tue Feb 15 14:35:36 2011
*filter
:INPUT ACCEPT [27795:3429097]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29854:8917482]
[0:0] -A FORWARD -s 192.168.1.0/24 ! -d 192.168.0.0/16 -p tcp -m tcp --dport 25 -j ACCEPT
COMMIT
# Completed on Tue Feb 15 14:35:36 2011

[xeon_greg]

[0:0] -A FORWARD -s 192.168.1.0/24 ! -d 192.168.0.0/16 -p tcp -m tcp --dport 25 -j ACCEPT

исходя из этого у вас вообще не включен форвардинг

[1:48] -A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 25,110 -j DNAT --to-destination 192.168.1.222:3128

вы сами перенаправляете эти порты через прокси(кстати достаточно простого редиректа -j REDIRECT --to-ports xxxx,DNAT совем не обязательно). зачем тогда  правило в форвард ? настраивайте тогда прокси сервер на нужные порты.
 либо же включайте форвардинг (sudo sysctl net.ipv4.ip_forward=1) убирайте правило из PREROUTING перенаправления портов на прокси.  и добавляйте необходимые правила в FORWARD
Пользователь решил продолжить мысль 15 Февраля 2011, 12:04:56:да и кстати раз новичок , совету почитать какой-нить howto по iptables , чтобы представлять себе как происходит движение пакетов , что такое политики по умолчанию, форвардинг и много другого интересного. иначе нагородите огород и ничего работать не будет. с такими непростыми вопросами для новичка, нужно хотябы чуть-чуть  разбираться в этом

[Kill_l]

спасибо огромное за ответ, но просто мне это нужно ещё вчера. а почитать я неприменно почитаю. может поподробнее объяснишь как мне на данный момент поступить?
все правила убрал форвардинг включил


# Generated by iptables-save v1.4.4 on Tue Feb 15 15:19:05 2011
*mangle
:PREROUTING ACCEPT [141:11215]
:INPUT ACCEPT [136:11001]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [71:9375]
:POSTROUTING ACCEPT [71:9375]
COMMIT
# Completed on Tue Feb 15 15:19:05 2011
# Generated by iptables-save v1.4.4 on Tue Feb 15 15:19:05 2011
*nat
:PREROUTING ACCEPT [5739:352112]
:OUTPUT ACCEPT [813:49779]
:POSTROUTING ACCEPT [813:49779]
[1:48] -A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 25,110 -j DNAT --to-destinati                                                                      on 192.168.1.222:3128
COMMIT
# Completed on Tue Feb 15 15:19:05 2011
# Generated by iptables-save v1.4.4 on Tue Feb 15 15:19:05 2011
*filter
:INPUT ACCEPT [32332:3742339]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34402:10159779]
COMMIT
# Completed on Tue Feb 15 15:19:05 2011
root@proxy:~#
может подскажешь что можно дальше сделать

[xeon_greg]

стало быть так удаляешь правило из PREROUTING

Код: [Выделить]

sudo iptables -t nat D PREROUTING 1далее включаешь форвардинг

Код: [Выделить]

sudo sysctl -w net.ipv4.ip_forward=1политика DROP по умолчанию для форварда

Код: [Выделить]

sudo iptables -P FORWARD DROPи далее правила для портов на форвардинг

Код: [Выделить]

sudo iptables -A FORWARD -p tcp -m multiport --dport 25,110 -j ACCEPT
sudo iptables -A FORWARD -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ну добавляешь необходимые фильтры по IP, если надо (-s или -d  критерии),  да и если это прозрачный прокси то скорее всего у тебя должно быть правило в PREROUTING для перенаправления рабочих портов на прокси(80,8080  и тд). вот в принципе общая модель.

[Kill_l]

Код: [Выделить]

sudo iptables -A FORWARD -p tcp -m multiport --dport 25,110 -j ACCEPT
sudo iptables -A FORWARD -p tcp -m conntrack --ctstate RELATED, ESTABLISHED -j ACCEPT
conntrack --ctstate - опечатка? что то он ругается
прокси не прозрачный

[xeon_greg]

у бери пробел между , и ESTABLISHED

[Kill_l]

сейчас читаю http://www.opennet.ru/docs/RUS/iptables/ но пойму я всё это не скоро. а то что ты написал правила я применил, но похоже что не работают почтовики (((

[xeon_greg]

а что у тебя за роутер? авторизация в нем? шлюзы и dns все прописано на сервере ? если да в таком случае нжно еще занатить те порты которые ты будешь форвардить, примерно так

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -o eth0 -p tcp -m multiport --dport 25,110 -j MASQUERADE


[Kill_l]

роутер zyxel  прописанным dns добавив последнее правило заработало всё как нужно! спасибо огромное! тепер подскажи как поступить чтобы эти правила работали после перезагрузки системы!? нужно добавить их в rc.local ?

[xeon_greg]

сохранни сначала все правила что у тебя есть в файл

Код: [Выделить]

sudo iptables-save > ~/iptab

если попростому, добавить в rc.local
sysctl -w net.ipv4.ip_forward=1 - для того чтобы включался форвард
iptables-restore < ~/iptab -  восстанавливаем правила из файла
 только вместо тильды напиши полный путь к твоему хоуму
но лучше создать скрипт и добавить его в директорию скриптов поднятия интерфейса

[Kill_l]

если я сижу под рутом то /root/iptab правильно ?

[xeon_greg]

да. но совет мой тебе -  не сиди под рутом заведи пользователя и используй sudo для получения необходимых привелегий

[Kill_l]

ок пользыватель есть сейчас перейду! спасибо те огромное! очень благодарен за помощь
ещё при запуске  ./rc.local выдаёт строчку  net.ipv4.ip_forward = 1 это означает что ip_forward включен правильно?