iptables проблема с FORWARD

[_Vadim_]

Добрый День!
В цепочке форвард не работает вот такая конструкция:

Код: [Выделить]

iptables -A FORWARD -s *.*.*.0/24 -p tcp -m multiport --ports 25,110 -j ACCEPTхотя такая вот работает на ура:

Код: [Выделить]

iptables -A FORWARD -p tcp -m multiport --port 25,110 -j ACCEPTМожет кто из Гуру объяснит почему?
Уж очень бы не хотелось бы чтобы кто-то кроме *.*.*.0/24 мог использовать шлюз...

[terrible_user]

проверочный вопрос:

Код: [Выделить]

*.*.*.0/24Вы используете в правиле звездочки, как они у вас указаны или это просто хитро решили скрыть адресное пространство вашей локальной сети на форуме, что бы вас вдруг не взломали хакеры использую эту информацию.

вопрос на засыпку:
конструкция

Код: [Выделить]

-p tcp -m multiport --ports 25,110для разрешения, например, пакетов идущих с порта 25 источника на порт 25 получателя
Это действительно то что вам нужно ?

Хм, в первом случае --ports а во втором --port, теоретически конечно разницы в этом нету.

А если  что-то типа вот такого:

iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m multiport --dports 25,110 -j ACCEPT

[_Vadim_]

*.*.*.0  Да хитро решил скрыть из других соображений ...

Код: [Выделить]

-p tcp -m multiport --ports 25,110 вообще пытался разрешить pop3 и smtp протоколы для  почтовиков изнутри на ружу,  по идее мне нужно было

Код: [Выделить]

--dport но оно не работает, заработало только когда добавил аналогичную строку

Код: [Выделить]

--sport, вот и решил отделаться все в одной строке...
по поводу --ports просто одна строка была скопирована из стандартного вывода iptables-save(там iptables сама поменяла port -->ports), а другая из файлика.

iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m multiport --dports 25,110 -j ACCEPT

такая конструкция не работае иначе не спрашивал бы ....

[terrible_user]

Выложи полный конфиг

[_Vadim_]

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.1.1 on Wed Sep 30 13:14:27 2009
*mangle
:PREROUTING ACCEPT [775660:577177445]
:INPUT ACCEPT [697617:512726749]
:FORWARD ACCEPT [77418:64332279]
:OUTPUT ACCEPT [459741:495434552]
:POSTROUTING ACCEPT [536661:559719076]
COMMIT
# Completed on Wed Sep 30 13:14:27 2009
# Generated by iptables-save v1.4.1.1 on Wed Sep 30 13:14:27 2009
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [333:23712]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 -i ! lo -j LOG
-A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
-A INPUT -d 255.255.255.255/32 -i eth0 -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth1 -j ACCEPT
-A INPUT -d *.*.*.141/32 -i eth0 -j ACCEPT
-A INPUT -d *.*.*.255/32 -i eth0 -j ACCEPT
-A INPUT -d 192.168.1.27/32 -i eth1 -j ACCEPT
-A INPUT -d 192.168.1.255/32 -i eth1 -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -p tcp -m multiport --ports 25,110 -j ACCEPT
-A FORWARD -p tcp -m multiport --ports ! 25,110 -j LOG --log-prefix "INPUT_NOT_SEND_PACKETS"
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 255.255.255.255/32 -o eth0 -j ACCEPT
-A OUTPUT -d 255.255.255.255/32 -o eth1 -j ACCEPT
-A OUTPUT -s *.*.*.141/32 -o eth0 -j ACCEPT
-A OUTPUT -s *.*.*.255/32 -o eth0 -j ACCEPT
-A OUTPUT -s 192.168.1.27/32 -o eth1 -j ACCEPT
-A OUTPUT -s 192.168.1.255/32 -o eth1 -j ACCEPT
-A OUTPUT -j LOG
-A OUTPUT -j DROP
COMMIT
# Completed on Wed Sep 30 13:14:27 2009
# Generated by iptables-save v1.4.1.1 on Wed Sep 30 13:14:27 2009
*nat
:PREROUTING ACCEPT [27332:5061995]
:POSTROUTING ACCEPT [3152:193638]
:OUTPUT ACCEPT [3157:194049]
-A POSTROUTING -o eth1 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.1.27
-A POSTROUTING -o eth1 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.1.27
COMMIT
# Completed on Wed Sep 30 13:14:27 2009

*.*.* везде одна и та же сеть.
Пользователь решил продолжить мысль 30 Сентября 2009, 14:21:16:Добавлю, что у меня еще установлен ipmasq, может конечно его надо грохнуть?

[terrible_user]

Попробуем вытянуть причину
Сделай так, как ты говоришь у тебя работает, только добавь лог перед accept

Код: [Выделить]

iptables -A FORWARD -p tcp -m multiport --port 25,110 -j LOG --log-prefix "TEST IPTABLES "
iptables -A FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT
Проверяем почту в машины в локалке
затем смотрим в /var/log/syslog

Код: [Выделить]

SRC=   теоретически у тебя в SRC должно быть значение не из твое подсети *.*.*.0\24 - это бы все объяснило

также на всякий вывод

Код: [Выделить]

iptables -L -v

да и попробуй без ipmasq. ты все ровно делаешь NAT в iptales

[_Vadim_]

SYSLOG:

(Нажмите, чтобы показать/скрыть)

Sep 30 15:01:23 ubuntu-server kernel: [172998.021025] TEST IPTABLES IN=eth0 OUT=eth1 SRC=*.*.*.26 DST=195.214.192.6 LEN=46 TOS=0x00 PREC=0x00 TTL=127 ID=62984 DF PROTO=TCP SPT=2450 DPT=110 WINDOW=65386 RES=0x00 ACK PSH URGP=0
Sep 30 15:01:23 ubuntu-server kernel: [172998.040166] TEST IPTABLES IN=eth1 OUT=eth0 SRC=195.214.192.6 DST=*.*.*.26 LEN=49 TOS=0x00 PREC=0x00 TTL=56 ID=21769 DF PROTO=TCP SPT=110 DPT=2450 WINDOW=65535 RES=0x00 ACK PSH URGP=0
Sep 30 15:01:23 ubuntu-server kernel: [172998.042268] TEST IPTABLES IN=eth0 OUT=eth1 SRC=*.*.*.26 DST=195.214.192.6 LEN=46 TOS=0x00 PREC=0x00 TTL=127 ID=62989 DF PROTO=TCP SPT=2450 DPT=110 WINDOW=65377 RES=0x00 ACK PSH URGP=0
Sep 30 15:01:23 ubuntu-server kernel: [172998.061718] TEST IPTABLES IN=eth1 OUT=eth0 SRC=195.214.192.6 DST=*.*.*.26 LEN=80 TOS=0x00 PREC=0x00 TTL=56 ID=22825 DF PROTO=TCP SPT=110 DPT=2450 WINDOW=65535 RES=0x00 ACK PSH URGP=0
Sep 30 15:01:23 ubuntu-server kernel: [172998.061876] TEST IPTABLES IN=eth1 OUT=eth0 SRC=195.214.192.6 DST=*.*.*.26 LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=22826 DF PROTO=TCP SPT=110 DPT=2450 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Sep 30 15:01:23 ubuntu-server kernel: [172998.062426] TEST IPTABLES IN=eth0 OUT=eth1 SRC=*.*.*.26 DST=195.214.192.6 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=62992 DF PROTO=TCP SPT=2450 DPT=110 WINDOW=65337 RES=0x00 ACK URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.064263] TEST IPTABLES IN=eth0 OUT=eth1 SRC=*.*.*.26 DST=195.214.192.6 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=62995 DF PROTO=TCP SPT=2450 DPT=110 WINDOW=65337 RES=0x00 ACK FIN URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.082058] TEST IPTABLES IN=eth1 OUT=eth0 SRC=195.214.192.6 DST=*.*.*.26 LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=23609 DF PROTO=TCP SPT=110 DPT=2450 WINDOW=65534 RES=0x00 ACK URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.435462] TEST IPTABLES IN=eth0 OUT=eth1 SRC=*.*.*.26 DST=87.250.251.37 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=63087 DF PROTO=TCP SPT=2456 DPT=110 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.476071] TEST IPTABLES IN=eth1 OUT=eth0 SRC=87.250.251.37 DST=*.*.*.26 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=TCP SPT=110 DPT=2456 WINDOW=17920 RES=0x00 ACK SYN URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.476349] TEST IPTABLES IN=eth0 OUT=eth1 SRC=*.*.*.26 DST=87.250.251.37 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=63088 DF PROTO=TCP SPT=2456 DPT=110 WINDOW=65535 RES=0x00 ACK URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.517388] TEST IPTABLES IN=eth1 OUT=eth0 SRC=87.250.251.37 DST=*.*.*.26 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=2962 DF PROTO=TCP SPT=110 DPT=2456 WINDOW=17920 RES=0x00 ACK PSH URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.519497] TEST IPTABLES IN=eth0 OUT=eth1 SRC=*.*.*.26 DST=87.250.251.37 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=63093 DF PROTO=TCP SPT=2456 DPT=110 WINDOW=65515 RES=0x00 ACK PSH URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.572455] TEST IPTABLES IN=eth1 OUT=eth0 SRC=87.250.251.37 DST=*.*.*.26 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=2963 DF PROTO=TCP SPT=110 DPT=2456 WINDOW=17920 RES=0x00 ACK URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.572639] TEST IPTABLES IN=eth1 OUT=eth0 SRC=87.250.251.37 DST=*.*.*.26 LEN=63 TOS=0x00 PREC=0x00 TTL=53 ID=2964 DF PROTO=TCP SPT=110 DPT=2456 WINDOW=17920 RES=0x00 ACK PSH URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.573764] TEST IPTABLES IN=eth0 OUT=eth1 SRC=*.*.*.26 DST=87.250.251.37 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=63098 DF PROTO=TCP SPT=2456 DPT=110 WINDOW=65492 RES=0x00 ACK PSH URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172998.655170] TEST IPTABLES IN=eth1 OUT=eth0 SRC=87.250.251.37 DST=*.*.*.26 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=2965 DF PROTO=TCP SPT=110 DPT=2456 WINDOW=17920 RES=0x00 ACK URGP=0
Sep 30 15:01:24 ubuntu-server kernel: [172999.005344] TEST IPTABLES IN=eth1 OUT=eth0 SRC=87.250.251.37 DST=*.*.*.26 LEN=67 TOS=0x00 PREC=0x00 TTL=53 ID=2966 DF PROTO=TCP SPT=110 DPT=2456 WINDOW=17920 RES=0x00 ACK PSH URGP=0

iptables -L -v:

(Нажмите, чтобы показать/скрыть)

root@ubuntu-server:/usr/local/squid/sbin# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   36  1800 ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 LOG        all  --  !lo    any     loopback/8           anywhere            LOG                                                    level warning
    0     0 DROP       all  --  !lo    any     loopback/8           anywhere
  902  279K ACCEPT     all  --  eth0   any     anywhere             255.255.255.255
   44 25344 ACCEPT     all  --  eth1   any     anywhere             255.255.255.255
 237K   19M ACCEPT     all  --  eth0   any     anywhere             ubuntu-server
 117K   14M ACCEPT     all  --  eth0   any     anywhere             *.*.*.255
 347K  485M ACCEPT     all  --  eth1   any     anywhere             192.168.1.27
19256 2029K ACCEPT     all  --  eth1   any     anywhere             192.168.1.255
    0     0 LOG        all  --  any    any     anywhere             anywhere            LOG                                                    level warning
    0     0 DROP       all  --  any    any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 333 packets, 23712 bytes)
 pkts bytes target     prot opt in     out     source               destination
  125  6480 LOG        tcp  --  any    any     anywhere             anywhere            mult                                                   iport ports smtp,pop3 LOG level warning prefix `TEST IPTABLES '
31583   27M ACCEPT     tcp  --  any    any     anywhere             anywhere            mult                                                   iport ports smtp,pop3
   47  2336 LOG        tcp  --  any    any     anywhere             anywhere            mult                                                   iport ports ! smtp,pop3 LOG level warning prefix `INPUT_NOT_SEND_PACKETS'
   31  1731 DROP       all  --  any    any     anywhere             anywhere

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   36  1800 ACCEPT     all  --  any    lo      anywhere             anywhere
    0     0 ACCEPT     all  --  any    eth0    anywhere             255.255.255.255
    0     0 ACCEPT     all  --  any    eth1    anywhere             255.255.255.255
 205K  482M ACCEPT     all  --  any    eth0    ubuntu-server        anywhere
    0     0 ACCEPT     all  --  any    eth0    *.*.*.255          anywhere
 268K   20M ACCEPT     all  --  any    eth1    192.168.1.27         anywhere
    0     0 ACCEPT     all  --  any    eth1    192.168.1.255        anywhere
    0     0 LOG        all  --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       all  --  any    any     anywhere             anywhere

ipmasq пока еще не удалил....
Пользователь решил продолжить мысль 30 Сентября 2009, 12:33:28:Уже удалил ipmasq, вместе с ним отчистилась вся iptables, восстановил правила которые были, теперь не работает...  почта
Пользователь решил продолжить мысль 30 Сентября 2009, 14:45:27:...поспешил с не работает наверное, перебутил машину восстановил правила работает почта...
Пользователь решил продолжить мысль 30 Сентября 2009, 17:03:40:немножко понял почему не работало, сделал вот как, посмотрите грамотно это или не очень:

Код: [Выделить]

-A FORWARD -s *.*.*.0/24 -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -s 87.250.251.37/32 -d *.*.*.0/24 -p tcp -m multiport --sports 25,110 -j ACCEPT
-A FORWARD -s 195.214.192.6/32 -d *.*.*.0/24 -p tcp -m multiport --sports 25,110 -j ACCEPT


[AnrDaemon]

Не надо писать обратные правила для TCP соединений.
Если без них не работает, значит, либо роутинг/шлюз на клиентах не прописан, либо форвардинг пакетов на шлюзе не включен.

[_Vadim_]

Форвардинг на шлюзе включен(если это имеете ввиду):

Код: [Выделить]

net.ipv4.ip_forward=1, если имеете ввиду iptables, то нет (по умолчанию DROP), может конечно надо сделать разрешать ответные и связанные tcp соединения?
Без обратных правил не работает, по моей задумке http, ftp, icq идет через squid, а pop3 и smtp через NAT шлюза.
Роутинг на клиентах прописан иначе как бы они находили шлюз, но эта машина шлюзом по умолчанию для клиентов не является, тоесть правила такие:

Код: [Выделить]

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 *.*.*.141
route add *.0.0.0 mask 255.0.0.0 *.*.*.1
и т. д.

клиенты под WinXP.

[Silver Ghost]

iptables -A FORWARD ! --syn ACCEPT
Может такое добавить или я гоню?

[terrible_user]

Пока что пришел к следующему выводу : >>--- --->

Радикальные меры (не подразумевает использования пакета ipmasq):
изменить FORWARD и переделать NAT, т.е. удали все текущее из цепочек POSTROUTING  и FORWARD

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -p tcp -m multiport --dports 25,110 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Дальше

Код: [Выделить]

iptables -L -vи если через это правило (где мультипорт) пойдут пакетики, то все должно быть хорошо

[_Vadim_]

Сейчас попробую, только зачем мне маскарад, наверное правильней

Код: [Выделить]

iptables -t nat -A POSTROUTING -s *.*.*.0/24 -o eth1 -j SNAT --to-source 192.168.1.27?
Пользователь решил продолжить мысль 01 Октября 2009, 09:44:32:Отлично, так как ты сказал, работает:

Код: [Выделить]

-A FORWARD -s *.*.*.0/24 -i eth0 -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A POSTROUTING -s *.*.*.0/24 -o eth1 -j SNAT --to-source 192.168.1.27
СПАСИБО за ПОМОЩЬ!