как пропустить почту в прозрачном прокси

0

0

eth0 -внутр. сеть eth1- внешняя

поставил след. цепочки

-A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT

-A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options

-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable

-A FORWARD -o eth1 -p tcp -j DROP

IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24

-o eth1 -p tcp --dport 25 -j SNAT --to ip eth1

IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 - p tcp --dort 25

-j MASQUERADE

такие же пепочки для 110 порта

прокси работает, а почта не проходит. что не так

Ссылка

←

dhcp

[провайдерство]помогите определиться

→

-A FORWARD -o eth1 -p tcp -j DROP это как понимать? =)

Jaizer ★
(26.11.09 14:50:21 MSK)

Ответ на: комментарий от Jaizer 26.11.09 14:50:21 MSK

эти записи нашел в инете

это блокирование выхода через eth1 возможно там описывался

только вход -порт 25 а не 110

надо удалить ее или подкорректировать

ну в принципе что не так почему почта не проходит хотя бы по входу

valery
(26.11.09 15:28:51 MSK) автор топика

разреши форвард, включи форвардинг через sysctl -a

dimon555 ★★★★★
(26.11.09 16:31:10 MSK)

Ответ на: комментарий от dimon555 26.11.09 16:31:10 MSK

1 в /proc/sys/net/ipv4/ip_forward уже стоит

valery
(26.11.09 16:49:38 MSK) автор топика

Ссылка

INPUT

Бегом читать man iptables. Цепочка INPUT отвечает за пакеты, предназначенные самому серваку. Транзитные фильтруются в FORWARD.

iptables -F
iptables -t nat -F
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 25,110,143 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

nnz ★★★★
(26.11.09 19:10:19 MSK)

Ссылка

-A FORWARD -o eth1 -p tcp -j DROP

это убрать.

IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 - p tcp --dort 25

это заменить на --dport 110

IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp --dport 25 -j SNAT --to ip eth1

IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 - p tcp --dort 25 -j MASQUERADE

Это убрать, заменить на iptables -t nat -I POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source 11.22.33.44

согласно докам на iptables, любая фильтрация в таблицах отличных от filter (т.е. nat, mangle, raw) - нежелательна. Т.е. проброс портов делать для всех возможных подсетей, а в iptables -A FORWARD уже разрешать или запрещать. (например, iptables -I FORWARD -p tcp --dport 110 -s 192.168.1.0/24 -j ACCEPT

azure ★★
(26.11.09 19:14:06 MSK)

Ответ на: комментарий от valery 26.11.09 15:28:51 MSK

Лучше убрать все записи и прочитать ман.

ventilator ★★★
(27.11.09 19:01:35 MSK)

Ссылка

Ответ на: комментарий от azure 26.11.09 19:14:06 MSK

по твоей рекомендации - возможна лишняя нагрузка на модуль nat.

spunky ★★
(29.11.09 03:51:16 MSK)

Ответ на: комментарий от spunky 29.11.09 03:51:16 MSK

> по твоей рекомендации - возможна лишняя нагрузка на модуль nat.

рекомендации пишут парни, которые кодят netfilter. наверное, им виднее, в каком случае будет лишняя нагрузка. Возможно, на нат нагрузка будет больше, но совокупня нагрузка - меньше. А вы как считаете? :)

azure ★★
(30.11.09 15:22:45 MSK)

Ссылка

А можно узнать каким боком к этим iptables-правилам прозрачный proxy ?
Прозрачного проксирования почты я тут как-то не наблюдаю.

spirit ★★★★★
(01.12.09 06:50:15 MSK)

Ответ на: комментарий от spirit 01.12.09 06:50:15 MSK

это самое что ни на есть прозрачное нат-проксирование

azure ★★
(02.12.09 20:52:25 MSK)

Ответ на: комментарий от azure 02.12.09 20:52:25 MSK

это просто NAT.
прозрачное проксирование это когда у тебя squid в режиме transparent proxy для веб и ченить вроде perdition для входящей почты. зы. для исходящей почты юзаю экзим
проксирование от NAT отличается тем, что у тебя вирусня через тот же 110й порт не простучится, поскольку проксирующая программа будет кромсать соединение согласно протокола, а не просто переправлять пакеты.

VladimirMalyk ★★★★★
(02.12.09 21:00:26 MSK)