iptables forward smtp - как? - Пингвинятник (ОС *NIX)

Shkurik · 04.10.2010, 16:29

Доброго времени суток!

Подскажите плз хто чем может....

1. Шлюз (CentOS 5.5), 2 сетевых интерфейса - внешний А1 и внутренний Б1;
2. Мэйлсервер (iRedOS - CentOS 5.5) - 1 сетевой интерфейс Б2;
3. Вэбсервер (CentOS 5.5) - 1 сетевой интерфейс Б3;

Нужно форвардить smtp траффик со шлюза на мейлсервер (и обратно)...
www траффик форвардится, сделал аналогичные правила на шлюзе:
Chain PREROUTING (policy ACCEPT 11100 packets, 932285 bytes)
pkts bytes target prot opt in out source destination
422 22876 DNAT tcp -- * * 0.0.0.0/0 А1 tcp dpt:80 to:Б3:80
2 120 DNAT tcp -- * * 0.0.0.0/0 А1 tcp dpt:25 to:Б2:25

Chain POSTROUTING (policy ACCEPT 61 packets, 8535 bytes)
pkts bytes target prot opt in out source destination
422 22876 MASQUERADE all -- * * 0.0.0.0/0 Б3
468 27168 MASQUERADE all -- * * 0.0.0.0/0 Б2
25-й порт открыт на шлюзе и на мэйлсервере.

Не понимать.

Спасибо!

ПС. Iptables - общее представление.

Hubbitus · 04.10.2010, 20:46

Ну на первый взгляд все правильно. Не забыли ли разрешить эти пакеты в INPUT и FORWARD?
Что не работает? Пакеты проходят хоть в одну сторону?

Приводите полные команды.

albo · 04.10.2010, 22:53

да-да. дайте iptables -L и iptables -t mangle -L

Shkurik · 05.10.2010, 15:32

а mangle то зачем? это же изменение пакетов? мануалы не рекомендую ваще трогать mangle?
[root@mailserver ~]# iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
т.е. - пусто....

добавлено через 45 минут
mailserver - это хостнейм шлюза
не обращайте внимания

добавлено через 2 минуты
и еще непонятка - телнетом можно коннектиться на 25-й порт на внешний ИП на самом сервере. А снаружи- низя.....

Shkurik · 05.10.2010, 22:34

Добавляю
iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED --dport 25 -j ACCEPT
Счетчики растут.
tcpdump показывает smtp траффик на шлюзе и на мейлсервере.....
наружу не уходит....

Shkurik · 06.10.2010, 20:12

Это....
Оказалось, что провайдер "по умолчанию" закрыл 25-й порт...
Закрыто.

04.10.2010, 16:29	# 1
Shkurik Junior Member Регистрация: 24.01.2002 Адрес: Украина, Киев Пол: Male Сообщения: 158	iptables forward smtp - как? Доброго времени суток! Подскажите плз хто чем может.... 1. Шлюз (CentOS 5.5), 2 сетевых интерфейса - внешний А1 и внутренний Б1; 2. Мэйлсервер (iRedOS - CentOS 5.5) - 1 сетевой интерфейс Б2; 3. Вэбсервер (CentOS 5.5) - 1 сетевой интерфейс Б3; Нужно форвардить smtp траффик со шлюза на мейлсервер (и обратно)... www траффик форвардится, сделал аналогичные правила на шлюзе: Chain PREROUTING (policy ACCEPT 11100 packets, 932285 bytes) pkts bytes target prot opt in out source destination 422 22876 DNAT tcp -- * * 0.0.0.0/0 А1 tcp dpt:80 to:Б3:80 2 120 DNAT tcp -- * * 0.0.0.0/0 А1 tcp dpt:25 to:Б2:25 Chain POSTROUTING (policy ACCEPT 61 packets, 8535 bytes) pkts bytes target prot opt in out source destination 422 22876 MASQUERADE all -- * * 0.0.0.0/0 Б3 468 27168 MASQUERADE all -- * * 0.0.0.0/0 Б2 25-й порт открыт на шлюзе и на мэйлсервере. Не понимать. Спасибо! ПС. Iptables - общее представление. __________________ Банзай!

04.10.2010, 20:46	# 2
Hubbitus мод IMHO Кодер-200(6,7,8) Регистрация: 29.03.2003 Адрес: Saint-Petersburg, Russia Пол: Male Сообщения: 2 734	Ну на первый взгляд все правильно. Не забыли ли разрешить эти пакеты в INPUT и FORWARD? Что не работает? Пакеты проходят хоть в одну сторону? Приводите полные команды. __________________ Я делаю Линукс! Присоединяйтесь к свободным людям! Связаться со мной всегда можно по джабберу: Hubbitus@jabber.ru Pahan-Hubbitus.

05.10.2010, 15:32	# 4
Shkurik Junior Member Регистрация: 24.01.2002 Адрес: Украина, Киев Пол: Male Сообщения: 158	а mangle то зачем? это же изменение пакетов? мануалы не рекомендую ваще трогать mangle? [root@mailserver ~]# iptables -L -t mangle Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination т.е. - пусто.... добавлено через 45 минут mailserver - это хостнейм шлюза не обращайте внимания добавлено через 2 минуты и еще непонятка - телнетом можно коннектиться на 25-й порт на внешний ИП на самом сервере. А снаружи- низя..... __________________ Банзай!

05.10.2010, 22:34	# 5
Shkurik Junior Member Регистрация: 24.01.2002 Адрес: Украина, Киев Пол: Male Сообщения: 158	Добавляю iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED --dport 25 -j ACCEPT Счетчики растут. tcpdump показывает smtp траффик на шлюзе и на мейлсервере..... наружу не уходит.... __________________ Банзай!

06.10.2010, 20:12	# 6
Shkurik Junior Member Регистрация: 24.01.2002 Адрес: Украина, Киев Пол: Male Сообщения: 158	Это.... Оказалось, что провайдер "по умолчанию" закрыл 25-й порт... Закрыто. __________________ Банзай!

04.10.2010, 22:53	# 3
albo Advanced Member Регистрация: 20.08.2003 Адрес: Москва Пол: Male Сообщения: 402	да-да. дайте iptables -L и iptables -t mangle -L