LINUX.ORG.RU
ФорумAdmin

Помогите с iptables.


0

0

Помогите разобраться с сабжем, ткните носом где я неправ ! ! !
Стоит сервак прокси на  RH 7.2 (ядро 2.4.18 собственной сборки), когда
понадобилась почта всем надыбал скриптик для iptables, который
разрешал все всем, теперь нужно разрешить только почту, и то не всем.
Насколько я понимаю, вот то правило, которое разрешает все всем:
==================
# 4.1.5 FORWARD chain
#
# Accept the packets we actually want to forward
#

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
==================
При любой попытке что либо ограничить не дает вообще ничего никому,
работает только прокси. Пробовал:
==
$IPTABLES -A FORWARD -i $LAN_IFACE -p TCP --ports 110 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -p UDP --ports 110 -j ACCEPT   
==
$IPTABLES -A FORWARD -i $LAN_IFACE -s 10.0.2.1 -j ACCEPT

все равно не дает ничего никому.
Вот что дает iptables -L
==========
Chain INPUT (policy DROP)
target     prot opt source               destination         
bad_tcp_packets  tcp  --  anywhere             anywhere           
icmp_packets  icmp --  anywhere             anywhere           
tcp_packets  tcp  --  anywhere             anywhere           
udpincoming_packets  udp  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             10.0.255.255       
ACCEPT     all  --  proxy                anywhere           
ACCEPT     all  --  10.0.2.5             anywhere           
ACCEPT     all  --  XX.XX.XX.XX          anywhere           
ACCEPT     all  --  10.0.0.0/16          anywhere           
ACCEPT     all  --  anywhere             xx.xx.xx.xx     state/>
/>RELATED,ESTABLISHED 
LOG        all  --  anywhere             anywhere        limit:/>
/>avg 3/min burst 3 LOG level debug prefix `IPT INPUT packet died: ' 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
bad_tcp_packets  tcp  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere        state/>
/>RELATED,ESTABLISHED 
LOG        all  --  anywhere             anywhere        limit:/>
/>avg 3/min burst 3 LOG level debug prefix `IPT FORWARD packet died:' 

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
bad_tcp_packets  tcp  --  anywhere             anywhere           
ACCEPT     all  --  proxy                anywhere           
ACCEPT     all  --  10.0.2.5             anywhere           
ACCEPT     all  --  xx.xx.xx.xx          anywhere           
LOG        all  --  anywhere             anywhere        limit:/>
/>avg 3/min burst 3 LOG level debug prefix `IPT OUTPUT packet died:' 

Chain allowed (3 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere        tcp/>
/>flags:SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere        state/>
/>RELATED,ESTABLISHED 
DROP       tcp  --  anywhere             anywhere           

Chain bad_tcp_packets (3 references)
target     prot opt source               destination         
LOG        tcp  --  anywhere             anywhere        tcp/>
flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix/>
/>`New not syn:' 
DROP       tcp  --  anywhere             anywhere        tcp/>
/>flags:!SYN,RST,ACK/SYN state NEW 

Chain icmp_packets (1 references)
target     prot opt source              destination         
ACCEPT     icmp --  anywhere            anywhere   icmp echo-request 
ACCEPT     icmp --  anywhere            anywhere   icmp time-exceeded 

Chain tcp_packets (1 references)
target     prot opt source               destination         
allowed    tcp  --  anywhere             anywhere  tcp dpt:ssh 
allowed    tcp  --  anywhere             anywhere  tcp dpt:telnet 
allowed    tcp  --  anywhere             anywhere  tcp dpt:pop3 

Chain udpincoming_packets (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere  udp spt:pop3 

Буду очень признателен если кто-нибудь поможет.

Re: Помогите с iptables.

Как я понял, локалка твоя использует нетранслируемые адреса (10.х.х.х, 192.168.х.х, etc). Снаружи, соответственно - нормальный IP. Вопрос: А NAT ты прописал? Скорее всего нет, раз через прокси вылезти можно и по Вебу полазить, а напрямую - ничего.

#маскарадинг (NAT)
iptables -t nat -A POSTROUTING -d ! 192.168.0.0/16 -o eth1 -j MASQUERADE

Либо, как вариант, разрешён ли форвард пакетов (устанавливается в опциях ядра или в файле /proc/sys/net/ipv4/ip_forward )?

DukeSS ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.