Проблема с IPTABLES, DNS и почтой

[TarikS]

INPUT - входящие
OUTPUT - исходящие
FORWARD - перенаправление

[fisher74]

Молодец. А теперь подумай, как правила в цепочке INPUT могут влиять на траффик до почтового сервера в интернете.

С dns-запросами всё правильно, у Вас DNSmasq используется. А вот с pop и smtp....

[TarikS]

Вот и думаю! При получении почты с компьютера сети из почтовой программы идет обращение к Dns серверу (которым и является 10.0.0.105) - это INPUT, далее переходим к FORWARD и если есть разрешающее правило (а оно есть: -A FORWARD -s 10.0.0.0/24 ! -d 10.0.0.0/24 -i eth1 -p tcp -m multiport --dports 25,110 -j ACCEPT), соотвественно получаем результат! в этом случае положительный.

А у меня все вставало на самом старте. Доступ к DNS серверу по UDP был отрезан!
Что то не то?

[fisher74]

Всё ТО.
Давайте ещё посмотрим что у Вас получилось.

[TarikS]

Вот что получилось:
iptables-save

(Нажмите, чтобы показать/скрыть)

root@ubserv:~# iptables-save
# Generated by iptables-save v1.4.10 on Wed Jun 20 11:39:45 2012
*nat
:PREROUTING ACCEPT [3716:254123]
:INPUT ACCEPT [332:29828]
:OUTPUT ACCEPT [842:55716]
:POSTROUTING ACCEPT [825:52513]
-A POSTROUTING -s 10.0.0.0/8 -j MASQUERADE
COMMIT
# Completed on Wed Jun 20 11:39:45 2012
# Generated by iptables-save v1.4.10 on Wed Jun 20 11:39:45 2012
*mangle
:PREROUTING ACCEPT [83698:45786152]
:INPUT ACCEPT [2574:344545]
:FORWARD ACCEPT [81124:45441607]
:OUTPUT ACCEPT [1971:320417]
:POSTROUTING ACCEPT [82511:45733114]
COMMIT
# Completed on Wed Jun 20 11:39:45 2012
# Generated by iptables-save v1.4.10 on Wed Jun 20 11:39:45 2012
*filter
:INPUT DROP [488:58429]
:FORWARD DROP [598:32312]
:OUTPUT ACCEPT [1327:171194]
:localnet - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.0.0.0/8 -j localnet
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 123 -j ACCEPT
-A INPUT -p udp -m udp --dport 123 -j ACCEPT
-A FORWARD -s 10.0.0.6/32 -j ACCEPT
-A FORWARD -s 10.0.0.7/32 -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 10.0.0.0/8 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -d 10.0.0.0/8 -p tcp -m tcp --sport 53 -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -p udp -m udp --dport 67:68 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -p tcp -m tcp --dport 67:68 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -p icmp -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -p udp -m udp --dport 123 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -p tcp -m tcp --dport 123 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.0.0.0/24 ! -d 10.0.0.0/24 -i eth1 -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 10.0.0.6/32 -j ACCEPT
-A localnet -p tcp -m tcp -m multiport --dports 25,110 -j ACCEPT
-A localnet -p tcp -m tcp --dport 21 -j ACCEPT
-A localnet -p tcp -m tcp --dport 22 -j ACCEPT
-A localnet -p tcp -m tcp --dport 3128 -j ACCEPT
-A localnet -p tcp -m tcp --dport 10000 -j ACCEPT
-A localnet -p tcp -m tcp --dport 53 -j ACCEPT
-A localnet -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Wed Jun 20 11:39:45 2012

[ivsatel]

Попробуйте начать все с начала. Вот примерный начальный каркас, в который можно/нужно добавлять постепенно, по одному, пронумерованные правила:

(Нажмите, чтобы показать/скрыть)

Код: (Bash) [Выделить]

#!/bin/sh

# Очистка правил
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Очистка всех цепочек
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Очистка контейнеров
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z

# Установка правил по умолчанию
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Разрешить установление новых соединений в цепочке INPUT
iptables -I INPUT 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT 2 -s 10.0.0.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
iptables -I INPUT 3 -i lo -j ACCEPT

# Разрешение в цепочке FORWARD
iptables -I FORWARD 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Поднять NAT
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE

# Запомнить правила
iptables-save >/etc/iptables.up.rules


Так будет наглядней, где пакеты не проходят.

[fisher74]

TarikS,
 А что с прозрачным прокси на 10.0.0.6? Или пока не заморачивались?

[TarikS]

fisher74,
не заморачивался! Думаете стоит? На данный момент работает с выложенной выше конфигурацией.

ivsatel,
Спасибо. Сейчас вроде работает как надо.

[ivsatel]

fisher74,
Думаете стоит?

Прозрачное проксирование Вас избавит от нужды вбивания настроек прокси в каждой программе, на каждой машине.
Это хорошо когда машин 5-15, а если 100-150...

ivsatel,
Спасибо. Сейчас вроде работает как надо.

Это по Вашему конфигу?

[TarikS]

Это по Вашему конфигу?

Да, по нему. а что с ним не так?

[fisher74]

Собственно полностью соглашусь с ivsatel по полезности прозрачного проксирования против обычного.
1 правило и можно забы(и)ть про доп.настройки на клиентских машинах. А если ещё и DHCP нормально настроено, то вообще кайф.

[ivsatel]

... а что с ним не так?

Простой пример проверки это выполнить команду:

Код: [Выделить]

sudo iptables-save -c
И если контейнер* пуст (у вас не так много правил) то пакеты просто не доходят до этого правила. А значит (в данном случае) оно лишнее.
Проверьте.
* - Содержимое контейнера отображается в прямоугольных скобках, перед правилом, вот пример:

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Thu Jun 21 16:02:24 2012
*filter
:INPUT DROP [1043344:361822433]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [721275:66613844]
[7815:438477] -A INPUT -m state --state INVALID -j DROP
[142:43571] -A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
COMMIT
# Completed on Thu Jun 21 16:02:24 2012


[fisher74]

Вы так зря учите. А если правило состряпано для защиты от атак, которых ещё не было? Выйдет как раз с нулевыми значениями и, по Вашему учению, должны быть исключены. Примером, хоть и кривым, может служить дефолтное значение FORWARD DROP.

[ivsatel]

fisher74
Все верно.
Но я ведь сделал поправку на ограниченное число правил (я это учел при написании поста, хоть и не явно).