(РЕШЕНО) Настройка фаервол+сквид+почта

[vr001]

Помогите с настройками чтоб почта ходила в обход сквида, где я не так сделал?

$ sudo iptables -F
$ sudo iptables -F -t nat
$ sudo iptables -P INPUT DROP
$ sudo iptables -P OUTPUT ACCEPT
$ sudo iptables -P FORWARD ACCEPT
$ sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A INPUT -s 198.162.*.*/24 -i eth2 -j ACCEPT
$ sudo iptables -t nat -A PREROUTING -s 198.162.*.*/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
$ sudo iptables -t nat -A POSTROUTING -s 198.162.*.*/24 -o eth1 -j SNAT --to-source 192.168.*.*
$iptables -A FORWARD -p tcp -s $198.162.*.*/24 -d smtp.mail.ru --dport 25 -j ACCEPT
$iptables -A FORWARD -p tcp -s smtp.mail.ru -d $198.162.*.*/24 --sport 25 -j ACCEPT
$iptables -A FORWARD -p tcp -s $198.162.*.*/24 -d pop.mail.ru --dport 110 -j ACCEPT
$iptables -A FORWARD -p tcp -s pop.mail.ru -d $198.162.*.*/24 --sport 110 -j ACCEPT
$iptables -t nat -A POSTROUTING -p tcp -s $198.162.*.*/24 --dport 110 -j MASQUERADE
$iptables -t nat -A POSTROUTING -p tcp -s $198.162.*.*/24 --dport 25 -j MASQUERADE

sysctl net.ipv4.ip_forward=1

[_Vadim_]

Дайте вывод iptables-save в "СПОЙЛЕР", а также внутреннюю сеть и какой eth и внешний ip static/dinamic и соответствующий ему интерфейс....

[vr001]

# Generated by iptables-save v1.3.8 on Wed Nov 18 14:20:28 2009
*filter
:INPUT DROP [4477:413392]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1094270:756813094]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 198.162.5.0/255.255.255.0 -i eth2 -j ACCEPT
COMMIT
# Completed on Wed Nov 18 14:20:28 2009
# Generated by iptables-save v1.3.8 on Wed Nov 18 14:20:28 2009
*nat
:PREROUTING ACCEPT [1496:147002]
:POSTROUTING ACCEPT [3393:213617]
:OUTPUT ACCEPT [3393:213617]
-A PREROUTING -s 198.162.5.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 198.162.5.0/255.255.255.0 -o eth1 -j SNAT --to-source 192.168.1.4
-A POSTROUTING -p tcp -m tcp -m multiport --ports 25,110 -j MASQUERADE
COMMIT
# Completed on Wed Nov 18 14:20:28 2009

eth1- смотрит в нет статистический
eth2- смотрит в локалку статистический
Пользователь решил продолжить мысль 18 Ноября 2009, 15:43:07:Вот так работает, только не уверен что так правильно

[_Vadim_]

для почты в форварде сделать:

Код: [Выделить]

iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 198.162.5.0/24 -i eth2 -p tcp -m multiport --dports 25,110 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPTесли надо только для определенной почты, добавляете -d 195.214.192.6 для freemail.ukr.net, должно получится так:

Код: [Выделить]

iptables -A FORWARD -s 192.162.5.0/24 -i eth2 -d 195.214.192.6 -p tcp -m multiport --dports 25,110 -j ACCEPTдалее все что прошло форвард, попадает в построутинг:

Код: [Выделить]

iptables -F POSTROUTING
iptables -A POSTROUTING -s 198.162.5.0/24 -i eth1 -j SNAT --to-source 192.168.1.4Должно быть так по идее....

[vr001]

Все работает тему можно закрывать всем спасибо