IPtables + mail + AD

[mitox]

Всем доброго дня, возник вопрос по пробросу портов для почты , это если в кратце.

В офисе стоит win2003Ent +  exchange, небольшая сеть на 10 компов , шары, 1ска, и прочее,  начальство решило  для надёжности завести шлюз на Ubunte, недолго думая нашёл старенький пк, накатил на него ubuntu 9.04, настроил iptables, bind9, squid. И всё бы ничего , и инет у всех есть, и почта вроде работает, но вот exchange категорически отказывается работать если ему вместо его родного win2k dns указать dns шлюза ubuntu, и тут я его категорически понимаю.

Так вот сам вопрос, как мне сделать port mapping для почты в iptables? В действительности хотелось бы, чтобы в настройках почты прописывался айпишник шлюза, назначенный порт и всё работало.

Изначально почту открывал так

$IPTABLES -t nat -A POSTROUTING -p tcp --dport 110 -o $INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -t nat -A POSTROUTING -p tcp --dport 25 -o $INET_IFACE -j SNAT --to-source $INET_IP



Днс у пользователей надо оставить старый дабы exchange работал

Если нужны какие либо конфиги всё выложу. Заранее извиняюсь если такая тема уже была.

Пысы В линуксе работаю около 2 недель, знаю мало, но узнать побольше стремление есть, помогите 

[podkovyrsty]

Посмотри в сторону вот этих 2-х вещей:
1) PREROUTING
2) DNAT

[mitox]

А можно чуть больше конкретики?

К примеру как мне вот это " Любые пакеты приходящие на шлюз на 9025/9110 порты, отправлять на pop.mail.ru:110 / smtp.mail.ru:25 " перевести в правило iptables?

Если лень разжёвывать или что-то объяснять, так и скажите, я пойму



$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 25 -j ACCEPT
$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 110 -j ACCEPT    где я не прав? что необходимо  дописать?

[AnrDaemon]

-s убери
Выключи ufw, если хочешь разобраться, как работает фильтрация.
И - с какой стороны приходящие?

[mitox]

Приходящие из внутренней локалки 192.168.0.0\24

[AnrDaemon]

-t mangle -A PREROUTING -s 192.168.0.0/255.255.0.0 -p tcp -m tcp -d <localIP> --dport 9110 -m conntrack --ctstate NEW -j DNAT --to-destination pop.mail.ru:110

Как-то так.

[mitox]

при запуске скрипта сругнулся на pop.mail.ru / smtp.mail.ru Bad IP Address

мой первый скрипт, собран из разных статей, и я уверен тут куча неправильного, но каким то образом инет и почта раздаются (почта без exchange)

(Нажмите, чтобы показать/скрыть)

#faces
INET_IFACE="eth0" # inet
INET_IP="192.168.5.115"
LAN_IP="192.168.0.251"
LAN_IP_RANGE="192.168.0.0/24"
LAN_IFACE="eth1"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"

# demons

/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

#forward


echo "1" > /proc/sys/net/ipv4/ip_forward


$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -F
$IPTABLES -F
$IPTABLES -X

####

# nat na server
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.251 -o $INET_IFACE -j SNAT --to-source $INET_IP

# nat na icq
$IPTABLES -t nat -A POSTROUTING -p tcp --dport 5190 -o $INET_IFACE -j SNAT --to-source $INET_IP
# nat mail
$IPTABLES -t nat -A POSTROUTING -p tcp --dport 110 -o $INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -t nat -A POSTROUTING -p tcp --dport 25 -o $INET_IFACE -j SNAT --to-source $INET_IP

#####
$IPTABLES -A INPUT -s $LAN_IP_RANGE -d $LAN_IP -p tcp --destination-port 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $LAN_IP_RANGE -d $LAN_IP -p tcp --destination-port 80 -j ACCEPT
#$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE #

$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state NEW,ESTABLISHED -j ACCEPT



# port mapping
#mail.ru
$IPTABLES -t mangle -A PREROUTING  -s 192.168.0.0/24 -p tcp -m tcp -d 192.168.0.251 --dport 9110 -m conntrack --ctstate NEW -j DNAT --to-destination pop.bk.ru:110
$IPTABLES -t mangle -A PREROUTING  -s 192.168.0.0/24 -p tcp -m tcp -d 192.168.0.251 --dport 9025 -m conntrack --ctstate NEW -j DNAT --to-destination smtp.bk.ru:25
#its-com
$IPTABLES -t mangle -A PREROUTING  -s 192.168.0.0/24 -p tcp -m tcp -d 192.168.0.251 --dport 9111 -m conntrack --ctstate NEW -j DNAT --to-destination 91.189.80.70:110
$IPTABLES -t mangle -A PREROUTING  -s 192.168.0.0/24 -p tcp -m tcp -d 192.168.0.251 --dport 9026 -m conntrack --ctstate NEW -j DNAT --to-destination 91.189.80.70:25

#  SSH
$IPTABLES -A INPUT --protocol tcp --dport 22 -s $LAN_IP_RANGE -j ACCEPT
#  HTTP
$IPTABLES -A INPUT --protocol tcp --dport 80 -s $LAN_IP_RANGE -j ACCEPT

[AndrelaS]

Тажа проблема, портмэпинг. В док-ах на иптэйблс, да и не только там есть решение нашей проблемы, но почемуто оно не работает Вот как я это делаю ( /etc/iptables.up.rules ):

# Generated by iptables-save v1.4.4 on Wed May 12 10:28:00 2010
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# pop.mail.ru
-A PREROUTING -p tcp -m tcp -d 192.168.78.201 --dport 9110 -j DNAT --to-destination 94.100.177.6:110
# smtp.mail.ru
-A PREROUTING -p tcp -m tcp -d 192.168.78.201 --dport 9025 -j DNAT --to-destination 94.100.177.1:25
COMMIT
# Completed on Wed May 12 10:28:00 2010
# Generated by iptables-save v1.4.4 on Wed May 12 10:28:00 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed May 12 10:28:00 2010
# Generated by iptables-save v1.4.4 on Wed May 12 10:28:00 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed May 12 10:28:00 2010

У клиента в почтовой програме сервером указан 192.168.78.201 порт 9110 (для поп) и 9025 (для смтп). Почта не идёт. Есть подозрение что что-то не дописано. и ещё интересно что за цифры " [0:0] " ?
Система Ubuntu Server 10.04LTS

[Mam(O)n]

при запуске скрипта сругнулся на pop.mail.ru / smtp.mail.ru Bad IP Address

Нужно юзать IP-адреса.

но почемуто оно не работает

Форвардинг ip трафика включен? sysctl net.ipv4.ip_forward показывает единицу?

и ещё интересно что за цифры " [0:0] " ?

Инициализаторы счётчиков цепочек.

[mitox]

забил айпишники, всё также безрезультатно =(

[Mam(O)n]

забил айпишники, всё также безрезультатно =(

Показывай

• sudo iptables-save
• sysctl net.ipv4.ip_forward

[AndrelaS]

proxyadmin@proxyserver:~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0

Что делать чтоб форвардинг включить?

[mitox]

Iptables save

(Нажмите, чтобы показать/скрыть)

*filter
:INPUT ACCEPT [30769:16827297]
:FORWARD ACCEPT [1798:209398]
:OUTPUT ACCEPT [29986:19583037]

-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 22 -j ACCETP
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCETP
COMMIT

*mangle
:PREROUTING ACCEPT [33973:171107015]
:INPUT ACCEPT [30769:16827297]
:FORWARD ACCEPT [1798:209398]
:OUTPUT ACCEPT [29986:19583027]
:POSTROUTING ACCEPT [31812:19797264]
COMMIT


*nat

:PREROUTING ACCEPT [3211:205187]
:POSTROUTING ACCEPT [1349:98095]
:OUTPUT ACCEPT [1347:97927]

-A POSTROUTING -s 192.168.0.251/32 -o eth0 -J SNAT --to-source 192.168.5.115
-A POSTROUTING -o eth0 -p tcp _m tcp --dport 5190 -j SNAT --to-source 192.168.5.115
-A POSTROUTING -o eth0 -p tcp _m tcp --dport 110 -j SNAT --to-source 192.168.5.115
-A POSTROUTING -o eth0 -p tcp _m tcp --dport 25 -j SNAT --to-source 192.168.5.115

COMMIT

 

sysctl net.ipv4.ip_forward =1

[Mam(O)n]

Что делать чтоб форвардинг включить?

Есть несколько способов. Сортировка возрастанию кривизны:

• Погуглить
• Создать файлик /etc/sysctl.d/ip_forward.conf с содержимым net.ipv4.ip_forward=1 и перечитать конфиг командой sudo invoke-rc.d procps restart
• Раскоментировать строку net.ipv4.ip_forward=1 в файле /etc/sysctl.conf и перечитать конфиг командой sudo invoke-rc.d procps restart
• В иницилиализацонном скрипте прописать команду sysctl net.ipv4.ip_forward=1 и запустить переинициализацию
• В иницилиализацонном скрипте прописать команду echo 1 > /proc/sys/net/ipv4/ip_forward и запустить переинициализацию

Любое из вышеперечисленных действий приведёт к единому результату разными путями.


Пользователь решил продолжить мысль 12 Мая 2010, 12:40:21:mitox, пропиши так:

Код: [Выделить]

iptables -t nat -A PREROUTING  -s 192.168.0.0/24 -d 192.168.0.251 -p tcp --dport 9110 -j DNAT --to 94.100.177.9:110
iptables -t nat -A PREROUTING  -s 192.168.0.0/24 -d 192.168.0.251 -p tcp --dport 9025 -j DNAT --to 94.100.177.2:25
iptables -t nat -A PREROUTING  -s 192.168.0.0/24 -d 192.168.0.251 -p tcp --dport 9111 -j DNAT --to 91.189.80.70:110
iptables -t nat -A PREROUTING  -s 192.168.0.0/24 -d 192.168.0.251 -p tcp --dport 9026 -j DNAT --to 91.189.80.70:25
Пользователь решил продолжить мысль 12 Мая 2010, 14:42:50:

-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 22 -j ACCETP
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCETP

Жесть. Копипаста сломалась и в ручную переписывал чтоль?

[mitox]

Огромное спасибо всем кто ответил, всё заработало!

-t mangle -A PREROUTING -s 192.168.0.0/255.255.0.0 -p tcp -m tcp -d <localIP> --dport 9110 -m conntrack --ctstate NEW -j DNAT --to-destination pop.mail.ru:110

mangle меняем на nat, после этого всё поёт и пляшет!  

Спасибо!

Mam(O)n чуть чуть опоздал, я доковырял сам) Спасибо огромное что откликнулся