iptables и почта

0

0

Описание. Есть шлюзовая машина, есть сеть предприятия, есть модем(192.168.1.1), который воткнут в общую сеть. Шлюзовая машина обеспечивает выход людей через squid в инет. У шлюзовой машины 3 интерфейса. eth0(192.168.1.2)-подсоеденяеться к модему. eth1(192.168.100.111)-смотрит в сеть, и lo. На шлюзе прописано в iptables что все запросы которые идут на eth1 на порт 3128 передовались в squid и он уже распределяет кому можно давать инет а кому нельзя. Проблема в следующем. На предприятии стоит почтовый клиент Mozilla Thunderbird через прокси она не работает. Нужно чтобы она работала напримую выходя в интернет на один ip адресс и с ним могла принимать и отправлять почту. Шлюз на сетевом интерфейсе прописан шлюзовой машины. Как я понял, нужно что то прописать в iptables чтобы он разрешал всем компам в локалке выход на этот ip в инете без ограничений минуя squid. Буду рад любому совету.

Ссылка

←	Slackware + OpenVZ

[gentoo] Странность с LVM и udev(?)

→

# iptables-save
в студию

af5 ★★★★★
(23.11.09 19:05:07 MSK)

Ответ на: комментарий от af5 23.11.09 19:05:07 MSK

# Generated by iptables-save v1.4.1.1 on Mon Nov 23 19:26:29 2009 *nat :PREROUTING ACCEPT [54698:3779456] :POSTROUTING ACCEPT [17960:1140702] :OUTPUT ACCEPT [17960:1140702] -A POSTROUTING -s 192.168.100.52/32 -d 213.27.12.40/32 -o eth1 -p tcp -m tcp --dport 143 -j SNAT --to-source 192.168.1.2 -A POSTROUTING -s 192.168.100.52/32 -p tcp -m tcp --dport 143 -j MASQUERADE COMMIT # Completed on Mon Nov 23 19:26:29 2009

pro2amer
(23.11.09 19:26:17 MSK) автор топика

некоторые провайдеры режут доступ на внешний 25 порт

dimon555 ★★★★★
(23.11.09 20:42:55 MSK)

Ссылка

iptables -I FORWARD -i eth0 -p tcp -m multiport --dports 25,110,143 -j ACCEPT
iptables -I FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

nnz ★★★★
(23.11.09 23:50:25 MSK)

Ответ на: комментарий от nnz 23.11.09 23:50:25 MSK

Попробывал непомогло. Уже не знаю что делать. Получаеться надо открыть туннель с помощью которого почтовик будет коннектится к внешнему ip-шнику

pro2amer
(24.11.09 10:38:56 MSK) автор топика

Ответ на: комментарий от pro2amer 24.11.09 10:38:56 MSK

Нат не заработает если не включить форвадинг в ядре .... echo «1» > /proc/sys/net/ipv4/ip_forward и пробуем ещё раз то что сказал уважаемый nnz

Tok ★★
(24.11.09 12:20:25 MSK)

Ссылка

Ответ на: комментарий от pro2amer 23.11.09 19:26:17 MSK

Ни какого перенаправления на сквид у вас нет.
В таблице nat у вас какой-то бред претендующий на пробрасывание внутреннего imap сервера для подключения из вне.
sysctl -a |grep net.ipv4.ip_forward
в студию
исправьте стартовый скрипт как написал nnz (только дефолтный запрет добавьте)
как сделаете - еще раз
iptables-save
в студию

af5 ★★★★★
(24.11.09 17:24:24 MSK)

Ответ на: комментарий от af5 24.11.09 17:24:24 MSK

Все сделал все равно не получаеться: Но вы правы были форвардинга небыло.После того как включил его вот вывод команды sysctl -a |grep net.ipv4.ip_forward error: «Success» reading key «dev.parport.parport0.autoprobe» error: «Success» reading key «dev.parport.parport0.autoprobe0» error: «Success» reading key «dev.parport.parport0.autoprobe1» error: «Success» reading key «dev.parport.parport0.autoprobe2» error: «Success» reading key «dev.parport.parport0.autoprobe3» error: permission denied on key 'net.ipv4.route.flush' net.ipv4.ip_forward = 1 error: permission denied on key 'net.ipv6.route.flush'

pro2amer
(25.11.09 10:16:59 MSK) автор топика

Ответ на: комментарий от pro2amer 25.11.09 10:16:59 MSK

# Generated by iptables-save v1.4.1.1 on Wed Nov 25 10:17:22 2009
*nat
:PREROUTING ACCEPT [119:9227]
:POSTROUTING ACCEPT [153:10148]
:OUTPUT ACCEPT [144:9621]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Nov 25 10:17:22 2009
# Generated by iptables-save v1.4.1.1 on Wed Nov 25 10:17:22 2009
*filter
:INPUT ACCEPT [2140:228339]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [221410:90511049]
-A INPUT -i lo -j ACCEPT
-A INPUT -p ! icmp -m state --state INVALID -j DROP
-A INPUT -s 192.168.100.0/24 -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j LOG --log-prefix «INPUT packet died: »
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -p tcp -m multiport --dports 25,110,143 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -j LOG --log-prefix «FORWARD BLOCKED:»
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Nov 25 10:17:22 2009