LINUX.ORG.RU
решено ФорумAdmin

Открыть 110 порт iptables


0

1

Доброго дня!

Помогите пожалуйста, не могу хоть убей открыть снаружи 110 порт, конфиг ниже : eth0-интернет

eth1-локалка

# Generated by iptables-save v1.4.8 on Tue Oct 2 15:18:57 2012

*nat

:PREROUTING ACCEPT [164:10810]

:POSTROUTING ACCEPT [49:2940] :OUTPUT ACCEPT [49:2940]

-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

-A POSTROUTING -s 192.168.0.67/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.91/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.143/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.203/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.206/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.88/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.43/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.208/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.42/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.62/32 -j SNAT --to-source внешний_ip

-A POSTROUTING -s 192.168.0.251/32 -j SNAT --to-source внешний_ip

COMMIT

# Completed on Tue Oct 2 15:18:57 2012

# Generated by iptables-save v1.4.8 on Tue Oct 2 15:18:57 2012

*filter

:INPUT DROP [0:0]

:FORWARD DROP [14:877]

:OUTPUT ACCEPT [3308:2496653]

-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT

-A FORWARD -s 192.168.0.67/32 -j ACCEPT

-A FORWARD -s 192.168.0.91/32 -j ACCEPT

-A FORWARD -s 192.168.0.143/32 -j ACCEPT

-A FORWARD -s 192.168.0.203/32 -j ACCEPT

-A FORWARD -s 192.168.0.206/32 -j ACCEPT

-A FORWARD -s 192.168.0.88/32 -j ACCEPT

-A FORWARD -s 192.168.0.43/32 -j ACCEPT

-A FORWARD -s 192.168.0.208/32 -j ACCEPT

-A FORWARD -s 192.168.0.42/32 -j ACCEPT

-A FORWARD -s 192.168.0.62/32 -j ACCEPT

-A FORWARD -s 192.168.0.251/32 -j ACCEPT

COMMIT

# Completed on Tue Oct 2 15:18:57 2012


-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT

если у тебя цель на 110 порту находиться не на этой машине, где правила ты пишешь, тогда должна быть цепочка FORWARD.

а также цель DNAT

uspen ★★★★★ ()
Последнее исправление: uspen (всего исправлений: 1)
Ответ на: комментарий от uspen

сделал так

$IPTABLES -t nat -A PREROUTING -p tcp --dst внешний_ip --dport 110 -j DNAT --to-destination 192.168.0.67:110

$IPTABLES -t nat -A OUTPUT -p tcp --dport 110 -j DNAT --to-destination 192.168.0.67:110

-A FORWARD -s 192.168.0.67/32 -j ACCEPT но все равно почта снаружи не приходит, а во вне отправляется

lomos ()
Ответ на: сделал так от lomos

-A FORWARD -s 192.168.0.67/32 -j ACCEPT но все равно почта снаружи не приходит, а во вне отправляется

так, forward в обоих направлениях нужно разрешать.

-A FORWARD -d 192.168.0.67/32 -j ACCEPT

А так, в рамках теста, сначала сделай

iptables -I FORWARD -j ACCEPT

А потом уже смотри, где какие правила добавлять.

justAmoment ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.