IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Пингвинятник (ОС *NIX) (http://www.imho.ws/forumdisplay.php?f=76)
-   -   iptables forward smtp - как? (http://www.imho.ws/showthread.php?t=144580)

Shkurik 04.10.2010 16:29
iptables forward smtp - как?
 
Доброго времени суток!

Подскажите плз хто чем может....

1. Шлюз (CentOS 5.5), 2 сетевых интерфейса - внешний А1 и внутренний Б1;
2. Мэйлсервер (iRedOS - CentOS 5.5) - 1 сетевой интерфейс Б2;
3. Вэбсервер (CentOS 5.5) - 1 сетевой интерфейс Б3;

Нужно форвардить smtp траффик со шлюза на мейлсервер (и обратно)...
www траффик форвардится, сделал аналогичные правила на шлюзе:
Chain PREROUTING (policy ACCEPT 11100 packets, 932285 bytes)
pkts bytes target prot opt in out source destination
422 22876 DNAT tcp -- * * 0.0.0.0/0 А1 tcp dpt:80 to:Б3:80
2 120 DNAT tcp -- * * 0.0.0.0/0 А1 tcp dpt:25 to:Б2:25

Chain POSTROUTING (policy ACCEPT 61 packets, 8535 bytes)
pkts bytes target prot opt in out source destination
422 22876 MASQUERADE all -- * * 0.0.0.0/0 Б3
468 27168 MASQUERADE all -- * * 0.0.0.0/0 Б2
25-й порт открыт на шлюзе и на мэйлсервере.

Не понимать.

Спасибо!

ПС. Iptables - общее представление.

Hubbitus 04.10.2010 20:46
Ну на первый взгляд все правильно. Не забыли ли разрешить эти пакеты в INPUT и FORWARD?
Что не работает? Пакеты проходят хоть в одну сторону?

Приводите полные команды.

albo 04.10.2010 22:53
да-да. дайте iptables -L и iptables -t mangle -L

Shkurik 05.10.2010 15:32
а mangle то зачем? это же изменение пакетов? мануалы не рекомендую ваще трогать mangle?
[root@mailserver ~]# iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
т.е. - пусто....

добавлено через 45 минут
mailserver - это хостнейм шлюза
не обращайте внимания

добавлено через 2 минуты
и еще непонятка - телнетом можно коннектиться на 25-й порт на внешний ИП на самом сервере. А снаружи- низя.....:confused:

Shkurik 05.10.2010 22:34
Добавляю
iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED --dport 25 -j ACCEPT
Счетчики растут.
tcpdump показывает smtp траффик на шлюзе и на мейлсервере.....
наружу не уходит....

Shkurik 06.10.2010 20:12
:mad:
Это....
Оказалось, что провайдер "по умолчанию" закрыл 25-й порт...
Закрыто.


Часовой пояс GMT +4, время: 00:33.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.