The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables не выпускает 25 порт"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [ Отслеживать ]

"iptables не выпускает 25 порт"  +/
Сообщение от Alexey email(??) on 17-Июл-09, 10:03 
Имеется на компе эксченж, почта работает внутри организации. Потребовалось настроить отправку писем в инет. Телнет по 25 порту в инет не проходит. С другого компа, где тоже все разрешено, все работает. Когда тестировал все, тоже была такая же проблема, на компе с айпи 17.224, не проходил телнет, а с 17.223 проходил, поменял айпишник все работало... А теперь перестало работать и на 17.223. Вот мой конфиг:
#!/bin/sh
#

echo 1 > /proc/sys/net/ipv4/ip_forward

#Exchange
iptables -t nat -A PREROUTING -d 78.107.. -p tcp --dport 25 -j DNAT --to-destination 192.168.17.223:25
iptables -t nat -A POSTROUTING -s 192.168.17.233 -o eth0 -p tcp -j SNAT --to-source 192.168.17.223:25
iptables -t nat -A PREROUTING -d 78.107.. -p tcp --dport 995 -j DNAT --to-destination 192.168.17.223:995
iptables -t nat -A POSTROUTING -s 192.168.17.223 -o eth0 -p tcp -j SNAT --to-source 192.168.17.223:995

#all elita
iptables -t nat -A POSTROUTING -s 192.168.17.6 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.9 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.12 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.255 -p all -j MASQUERADE

#all servera
iptables -t nat -A POSTROUTING -s 192.168.17.17 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.27 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.221 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.222 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.223 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.224 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.230 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.240 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.233 -p all -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.234 -p all -j MASQUERADE

#110 port
iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.1-192.168.17.16 --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.24 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.26 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.36-192.168.17.40 --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.46 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.56 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.106-192.168.17.109 --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.126 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.171 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.177 -p tcp --dport 110 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.17.224 -p tcp --dport 110 -j MASQUERADE

#25 port
iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.1-192.168.17.16 --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.24 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.26 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.36-192.168.17.40 --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.46 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.56 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.106-192.168.17.109 --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.126 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.171 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.177 -p tcp --dport 25 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.17.224 -p tcp --dport 25 -j MASQUERADE

#443 port
#iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.6-192.168.17.16 --dport 443 -j MASQUERADE
#iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.36-192.168.17.40 --dport 443 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.17.0/24 -p tcp --dport 433 -j MASQUERADE

#5190 port
iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.6-192.168.17.16 --dport 5190 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.36-192.168.17.40 --dport 5190 -j MASQUERADE

#http
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.17.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.17.222:3128

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables не выпускает 25 порт"  +/
Сообщение от reader (ok) on 17-Июл-09, 10:48 
>[оверквотинг удален]
>в инет. Телнет по 25 порту в инет не проходит. С
>другого компа, где тоже все разрешено, все работает. Когда тестировал все,
>тоже была такая же проблема, на компе с айпи 17.224, не
>проходил телнет, а с 17.223 проходил, поменял айпишник все работало... А
>теперь перестало работать и на 17.223. Вот мой конфиг:
>#!/bin/sh
>#
>
>echo 1 > /proc/sys/net/ipv4/ip_forward
>

странный подход к фильтрации, а тех кому нат не сделали пусть провайдер отлавливает :),
вообще то таблица нат, не единственная таблица и в других можно над пакетами поиздеваться, так что лучше приводить все текущие правила, например вывод iptables-save
>#Exchange
>iptables -t nat -A PREROUTING -d 78.107.. -p tcp --dport 25 -j
>DNAT --to-destination 192.168.17.223:25

eth0 - это внешний интерфейс?
>iptables -t nat -A POSTROUTING -s 192.168.17.233 -o eth0 -p tcp -j
>SNAT --to-source 192.168.17.223:25

напишите просто по русски как вы понимаете это правило и что будет после его применения


>[оверквотинг удален]
>
>#5190 port
>iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.6-192.168.17.16 --dport
>5190 -j MASQUERADE
>iptables -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.17.36-192.168.17.40 --dport
>5190 -j MASQUERADE
>
>#http
>iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.17.0/24 -p tcp
>-m multiport --dport 80,8080 -j DNAT --to 192.168.17.222:3128

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables не выпускает 25 порт"  +/
Сообщение от Alexey email(??) on 17-Июл-09, 12:46 
Вообщем предистория такая: Поставил эксченж на комп с айпи 17.224, пока настраивал, тестирова внутреннию переписку, пришло время сделать в инет. Из инета приходит почта, в инет не уходит. Делаю телнет, не проходит. И так и всяк пытался настроить не хочет, а на других компах работает. Сменил айпи на 17.223 заработала почта, решил не грузится оставил так. Так как почта все же нужна была для внутренней почты, все работает. Тут опять (прошло 2 недели где-то) решил почту в инет отправить... не отправляется, тоже самое, телнет не работает на 17.223, а на 17.224 заработал. Перевел эксченж на 17.224 почта пошла в инет, подрубаю свой комп на 17.223, телнет проходит, тока вместо привет, просто черное окошко. Когда стоял эксченж, была ошибка, что не может соедениться. Что может быть на проксе. Причем переадресация из инета на сервер по 25 порту продолжает работать (МХ запись).
eth0 - это внешний интерфейс
То правило означает, что приходящая почта через МХ запись напроксю, попадает на комп с эксченжем.
Прокся: Open suse на нем squid + iptables.


-A PREROUTING -d 78.107../32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.17.223:25
-A PREROUTING -d 78.107../32 -p tcp -m tcp --dport 995 -j DNAT --to-destination 192.168.17.223:995
-A PREROUTING -d ! 192.168.17.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.17.222:3128
-A POSTROUTING -s 192.168.17.223/32 -o eth0 -p tcp -j SNAT --to-source 192.168.17.223:25
-A POSTROUTING -s 192.168.17.223/32 -o eth0 -p tcp -j SNAT --to-source 192.168.17.223:995
-A POSTROUTING -s 192.168.17.6/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.9/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.12/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.255/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.17/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.27/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.221/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.222/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.223/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.224/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.230/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.240/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.233/32 -j MASQUERADE
-A POSTROUTING -s 192.168.17.234/32 -j MASQUERADE
-A POSTROUTING -p tcp -m iprange --src-range 192.168.17.1-192.168.17.16 -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -s 192.168.17.24/32 -p tcp -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -s 192.168.17.26/32 -p tcp -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -p tcp -m iprange --src-range 192.168.17.36-192.168.17.40 -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -s 192.168.17.46/32 -p tcp -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -s 192.168.17.56/32 -p tcp -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -p tcp -m iprange --src-range 192.168.17.106-192.168.17.109 -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -s 192.168.17.126/32 -p tcp -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -s 192.168.17.171/32 -p tcp -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -s 192.168.17.177/32 -p tcp -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -p tcp -m iprange --src-range 192.168.17.1-192.168.17.16 -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -s 192.168.17.24/32 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -s 192.168.17.26/32 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -p tcp -m iprange --src-range 192.168.17.36-192.168.17.40 -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -s 192.168.17.46/32 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -s 192.168.17.56/32 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -p tcp -m iprange --src-range 192.168.17.106-192.168.17.109 -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -s 192.168.17.126/32 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -s 192.168.17.171/32 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -s 192.168.17.177/32 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -s 192.168.17.0/24 -p tcp -m tcp --dport 433 -j MASQUERADE
-A POSTROUTING -p tcp -m iprange --src-range 192.168.17.6-192.168.17.16 -m tcp --dport 5190 -j MASQUERADE
-A POSTROUTING -p tcp -m iprange --src-range 192.168.17.36-192.168.17.40 -m tcp --dport 5190 -j MASQUERADE

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "iptables не выпускает 25 порт"  +/
Сообщение от reader (ok) on 17-Июл-09, 14:07 
про проброс 25 и 995 портов то все понятно и ответы будут ходить, а вот

-A POSTROUTING -s 192.168.17.223/32 -o eth0 -p tcp -j SNAT --to-source 192.168.17.223:25
-A POSTROUTING -s 192.168.17.223/32 -o eth0 -p tcp -j SNAT --to-source 192.168.17.223:995

означает что все что идет с 192.168.17.223 и уходит через eth0, будет отправлено с адресом 192.168.17.223, и провайдер эти пакеты убъет не задумываясь, но даже если и не убъет и эти пакеты доберутся до сервера, ответ вы все равно не получите.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iptables не выпускает 25 порт"  +/
Сообщение от Alexey email(??) on 17-Июл-09, 14:40 
Что удивляет, в начале то все работает, тока через некоторое время перестает.
Надо будет сделать так?:

>-A POSTROUTING -s 192.168.17.223/32 -o eth0 -p tcp -j SNAT --to-source внешний айпи:25
>
>-A POSTROUTING -s 192.168.17.223/32 -o eth0 -p tcp -j SNAT --to-source внешний айпи:995
>

И еще вопрос, чтобы не создавать кучу тем, как закрыть в squid порт 3128, а то он виден в инете. Конфиг брал готовый, а не сразу писал, тока под себя немного исправил. Используется прозрачное проксирование, версия 2.6

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "iptables не выпускает 25 порт"  +/
Сообщение от reader (ok) on 17-Июл-09, 17:06 
>Что удивляет, в начале то все работает, тока через некоторое время перестает.
>
>Надо будет сделать так?:
>
>>-A POSTROUTING -s 192.168.17.223/32 -o eth0 -p tcp -j SNAT --to-source внешний айпи:25
>>
>>-A POSTROUTING -s 192.168.17.223/32 -o eth0 -p tcp -j SNAT --to-source внешний айпи:995
>>

да, и порт по моему не обязателен
>
>И еще вопрос, чтобы не создавать кучу тем, как закрыть в squid
>порт 3128, а то он виден в инете. Конфиг брал готовый,
>а не сразу писал, тока под себя немного исправил. Используется прозрачное
>проксирование, версия 2.6

http_port 10.0.0.1:3128 transparent
http_port 127.0.0.1:3128 transparent


http_port может использоваться несколько раз

или в iptables отредактируйте таблицу фильтров
http://www.opennet.ru/docs/RUS/iptables/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру