Помогите настроить nat для почты

A маска подсети какая?
Должно быть вроде 255.255.255.248

255.255.255.0

А ты с адресами/масками ничего не напутал?

>eth0 (192.168.0.3) - у ней выход в лок. сеть eth1 (192.168.0.8) - Выход в инет (adsl).

Это вообще что за бред? Вывод route сюда

Ещё echo 1 > /proc/sys/net/ipv4/ip_forward

Не напутал, вроде.

[root@meloman ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default ubr7223.cominte 0.0.0.0 UG 0 0 0 ppp0
ubr7223.cominte * 255.255.255.255 UH 0 0 0 ppp0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1

Юморист, да? :)

`route -n` давай, а не `route`, адресов же не видно :)

Впрочем, твои 192,168,0,0/24 к Интернету вообще отношения не имеют :) Обрати внимание на ppp-интерфейс.

[root@meloman ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 82.116.12.29 0.0.0.0 UG 0 0 0 ppp0
82.116.12.29 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

82.116.12.29 выдается динамично

Вот поэтому я и прошу помощи, т.к. я слабо во всем этом разбираюсь.

Я говорю, попробуй MASQUERADE на ppp0 делать :)

Только что сделал: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE С другого компа пинг на ya.ru не идет.

>192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

Мдя уж.

Мне кажется, у тебя там вообще мало что должно работать. Есть рядом кто-то, кто мог бы хоть как-то помочь с настройками?

Заодно покажи `iptables -nL`, `iptables -nL -t nat`

А заодно и `tracert ya.ru` (или, если будет "не удалось обраружить..", `tracert 217.76.32.61`) с того windows-компьютера, на котором "пинг не идет".

[root@meloman ~]# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:137:139
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:32768:65535
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8888
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8181
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8118

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:32768:65535
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spts:32768:65535
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:137:139
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spts:137:139
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:8181
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:8888
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:8118
[root@meloman ~]# iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

На windows-машине
C:\>tracert 217.76.32.61

Трассировка маршрута к 217.76.32.61 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс meloman.localdomain [192.168.0.3]
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
.....
Рядом никого нет, кто бы помог с настройками сети.
Кстати, изменил ip у сет. карты, которая выходит в инет(eth1) на 192.168.1.1, потом проделал те же действия- никакого эффекта.

>Chain FORWARD (policy DROP) 
>target prot opt source destination

iptables -P FORWARD ACCEPT

>iptables -P FORWARD ACCEPT
Помогло ) - По ip пингует. Тогда еще 2 вопроса: как в винде днс настроить и разрешить только 110 и 25 порты?

>Тогда еще 2 вопроса: как в винде днс настроить и разрешить только 110 и 25 порты?

С 1м разобрался )
Только насчет портов никак не выходит.

>и разрешить только 110 и 25 порты?

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD --p tcp --dport 110 -j ACCEPT
iptables -A FORWARD --p tcp --dport 25 -j ACCEPT

1. маскарад на ppp0
2. если не работает почта и https то читай эту доку
http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/mtu-issues.html
ключевая фраза в ней
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 

>iptables -P FORWARD DROP
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A FORWARD --p tcp --dport 110 -j ACCEPT
>iptables -A FORWARD --p tcp --dport 25 -j ACCEPT

Ничего не дало. Ругался на два минуса перед р,- поставил одно- нет эффекта.

Ну, там действительно надо `-p`, а не `--p`.

А что понимается под эффектом и его отсутствием?

Эффект- получение почты. Сейчас Bat! пишет - "Невозможно соединиться с сервером".
Спасибо за ссылку. Правда, с английским тяжело. Поэтому и прошу помощи на форуме.

Ох эти сказочки, ооох уж эти сказочники.. :)

Давай иначе. Делай

iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

iptables -F
iptables -F -t nat

Потом делай маскарадинг на ppp0, на windows-машине проверь, чтобы шлюзом по умолчанию был твой linux и скажи, что _работает_ на windows-машине.

В первую очередь, работает ли `ping ya.ru`, `ping ТВОЙ_ПОЧТОВЫЙ_СЕРВЕР` (кстати, покажи что за сервер) и ходит ли браузер в Интернет (проверь, чтобы в настройках небыл установлен прокси-сервер).

Если не работает `ping ya.ru` - смотри настройки DNS. Если не работает пинг на твой почтовик, но работает пинг на яндекс, попробуй другой почтовый сервер например mail.ru (на сайте mail.ru в Помощи есть о том, как настроить theBat).

Спасибо большое- все заработало!

>(кстати, покажи что за сервер)

Сервер почтовый я не устанавливал.

Сейчас сделал `iptables-save >/root/iptables.save` - глянул в iptables.save и не увидел там своих настроек защиты. Я опять что-то не так сделал?

тьфу ты! Извините за послденее сообщение- видимо, дает о себе знать понедельник ) Я хотел спросить- в pop.mail.ru могут пойти только из локальной сети или все?

>Я хотел спросить- в pop.mail.ru могут пойти только из локальной сети или все?

Почитай http://www.opennet.ru/docs/RUS/iptables/ , там написано, как уточнить правило так, чтобы "только из локальной сети" :)

Имей ввиду, что firewall в том виде, в котором он сейчас у тебя, это вообще не защита, а одно название. Но пока ты не прочитаешь (раз 10 :) документ по ссылке выше, понять, почему, тебе будет очень сложно.

Спасибо за статью!
Честно скажу- может и не 10 раз читал, но много )
В результате такие правила родились:
[root@meloman log]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
[root@meloman log]# iptables -P FORWARD DROP
[root@meloman log]# iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
[root@meloman log]# iptables -A FORWARD -p tcp --dport 110 -i eth0 -j ACCEPT
[root@meloman log]# iptables -A FORWARD -p tcp --dport 25 -i eth0 -j ACCEPT

Все нормально и все пашет. Правда, не до конца: почту получает, отправляет. Но самому себе (от user@mail.ru на user@.mail.ru) не отправляет - почтовик майла.ру пишет, что user@mail.ru не существует. На другие ящики (user@yandex.ru) почта идет без проблем. В чем ошибся?
P.S. Не скажу, что статью изучил до дыр,-возможно, что-то упущено.

>майла.ру пишет, что user@mail.ru не существует

к firewall это никакого отношения не имеет.