Как пропускать почту и ещё кое-что мимо Squid`а?

[tdm]

спасибо огромное. завтра буду проверять

[AnrDaemon]

Mam(O)n, а как поднять НАТ для избранных портов? те правила, что ты советовал я сделал и карточки сетевые настроены нормально, но почта не работает. помоги, пожалуйста

Ты вопрос неправильно задаёшь.
NAT просто поднимается, не "для портов".
А уже КОНТРОЛИРОВАТЬ прохождение трафика через NAT... Мамон выше объяснил. iptables цепочка FORWARD - отвечает за прохождение или непрохождение трафика через NAT.

[tdm]

Всем, привет!

iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD ACCEPT
sysctl net.ipv4.ip_forward=1

так всё работает, все проги ходят в инет. Затем заменил iptables -P FORWARD ACCEPT на iptables -P FORWARD DROP и добавил
 
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -p tcp -m multiport --dports 20,21,25,110,3128 -j ACCEPT и ни чего не стало работать.

Помогите, кто-нить. Как профорвадить только 20,21,25,110,3128 порты?

[AnrDaemon]

Где добавил?
sudo iptables-save
показывай.

[Mam(O)n]

А самое главное забыл.

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -p tcp -m multiport --dports 20,21,25,110,3128 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -p udp --dport 53 -j ACCEPT

[tdm]

Bat заработал!!! А вот ftp как то не очень - соединяется, но удалённый каталог пустой (а он не пустой, я знаю) и перед открытием пустого каталога выходит ошибка "Команда PORT не выполнена". я раньше решал это командами

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

но они отваливаются после перезагрузки сервера. Я слышал, что ftp так работает из-за того что клиент сидит за НАТом, а как это решить с помощью iptables? Что бы нормально соединялся и после перезагрузки не отваливался.
Лотус пока не проверял, нет возможности.

А кто знает: какой порт использует антивирус Dr. Web при обновлении?

[Mam(O)n]

выходит ошибка "Команда PORT не выполнена".

Либо переводи в пассивный режим клиентов либо

я раньше решал это командами modprobe ip_conntrack_ftp modprobe ip_nat_ftp но они отваливаются после перезагрузки сервера.

А что либо ты делал, чтоб они загружались при старте? В /etc/modules прописывал?

[tdm]

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp    добавил в /etc/modules - но почему то, после перезагрузки ftp глючил(может я не так добавил?). тогда добавил в /etc/rc.local, перезагрузил и всё пашет.
Как правильно добавить в /etc/modules?
Mam(O)n, огромное тебе спасибо за помощь. И всем, кто принимал участие тоже спасибо. Напишу полную инструкцию и выложу.

[Mam(O)n]

Как правильно добавить в /etc/modules?

Без modprobe, по одному имени модуля на строку.

[tdm]

сделал, теперь загружается из /etc/modules и ftp нормально грузится. спасибо. только вот вопрос: данный способ - это костыль или элегантное решение проблемы?

[Mam(O)n]

Решения лучше я не видел

[AnrDaemon]

сделал, теперь загружается из /etc/modules и ftp нормально грузится. спасибо. только вот вопрос: данный способ - это костыль или элегантное решение проблемы?

Некоторые программы могут самостоятельно грузить модули, но если ты знаешь, что определённый модуль нужен, есть смысл загрузить его ручками. Через /etc/modules

[tdm]

А почему с клиента ни чего не пингуется? А с сервера нормально пингуется. Проверял ya.ru  и ip-адрес сервера Лотус. Кстати, Лотус на клиенте не работает, а почта и ftp работает.

[Mam(O)n]

Потому что транзит пинга никто не разрешал.

[sht0rm]

А почему с клиента ни чего не пингуется? А с сервера нормально пингуется. Проверял ya.ru  и ip-адрес сервера Лотус. Кстати, Лотус на клиенте не работает, а почта и ftp работает.

-A INPUT -i eth0 -p icmp -j ACCEPT

догадаешься в какую таблицу засунуть?