URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93406
[ Назад ]

Исходное сообщение
"iptables No Chain/target/match by that name"
Отправлено Алексей , 24-Май-12 07:32

Доброго времени суток.
Суть проблемы такая, на работе сервер поднят на Ubuntu, где настроен прокси SQUID.
Раньше интернет раздовался через роутер теперь возникла необходимость использовать проксю,
Прокся работает но почтовые клиенты не подключаются к серверу в данному случае к mail.ru.
Пробовал настроить через WEBMIN, так как только начинаю разбираться с системой ковырял долго и безрезультатно.
Перешел на консольку составил такие правила для iptables.
eth0 с ip 192.168.2.1 смотрит в локалку, ip 192.168.2.3 машины на которой должен работать почтовый клиент.
iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 25 -j ACCEPT
iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE
iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 25 -j MASQUERADE
Но при вводе iptables выдает ошибку no chain/target/match by that name
Помогите пожалуйста.
Пробовал убирать -m tcp результат тот же.
Сервер сильно трогать не могу так как он используется и как доменный и еще и файловый сервер

Содержание

iptables No Chain/target/match by that name,Дмитрий, 08:27 , 24-Май-12
- iptables No Chain/target/match by that name,Elvirion, 08:34 , 24-Май-12
  - iptables No Chain/target/match by that name,Elvirion, 08:35 , 24-Май-12
    - iptables No Chain/target/match by that name,Дмитрий, 08:58 , 24-Май-12
      - iptables No Chain/target/match by that name,Elvirion, 09:17 , 24-Май-12
        
        iptables No Chain/target/match by that name,Elvirion, 10:02 , 24-Май-12
        
        iptables No Chain/target/match by that name,Дмитрий, 10:34 , 24-Май-12
        
        iptables No Chain/target/match by that name,Elvirion, 10:47 , 24-Май-12
        
        iptables No Chain/target/match by that name,Дмитрий, 10:49 , 24-Май-12
        
        iptables No Chain/target/match by that name,Elvirion, 10:56 , 24-Май-12
        
        iptables No Chain/target/match by that name,Дмитрий, 11:01 , 24-Май-12
        
        iptables No Chain/target/match by that name,Elvirion, 11:17 , 24-Май-12
        
        iptables No Chain/target/match by that name,Дмитрий, 11:23 , 24-Май-12
        
        iptables No Chain/target/match by that name,Дмитрий, 11:24 , 24-Май-12
        iptables No Chain/target/match by that name,Elvirion, 11:26 , 24-Май-12

Сообщения в этом обсуждении

"iptables No Chain/target/match by that name"
Отправлено Дмитрий , 24-Май-12 08:27

конкретнее опишите что вы хотите сделать каждой строчкой . Домен на Ubuntu поднят ? Машины случаем не виртуальные ? не могу понять суть маневра засунуть и домени и файлапомойку и кальмара на однк машину с UBUNTU...

"iptables No Chain/target/match by that name"
Отправлено Elvirion , 24-Май-12 08:34

> конкретнее опишите что вы хотите сделать каждой строчкой . Домен на Ubuntu
> поднят ? Машины случаем не виртуальные ? не могу понять суть
> маневра засунуть и домени и файлапомойку и кальмара на однк машину
> с UBUNTU...
Да домен поднят на Ubuntu, такое уж наследство досталось от прошлого работника. все на одном серваке:(
iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 110 -j ACCEPT разрешить 110 порт
iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 25 -j ACCEPT разрешить 25 порт
так как используются для поп3 и smtp
iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE при обрашении с машины клиента по порту 110 перенаправить на сервер mail.ru
следующая команда тоже самое только на 25 порт

"iptables No Chain/target/match by that name"
Отправлено Elvirion , 24-Май-12 08:35

Забыл сказать что машины не виртуальные.

"iptables No Chain/target/match by that name"
Отправлено Дмитрий , 24-Май-12 08:58

> Забыл сказать что машины не виртуальные.
Ну и наследство у вас. Крутил как то Домен на Linux. Лучше Windows server пока не предуманно, для моих нужд.
Что-то подобное было городил я на одной машине лес вышел из ситуации разрешив все , а потом прописав остальные правила. Так как IPTABLES считывает правила с верху в низ.
попробуйте.
iptables -I FORWARD 2 -i eth0 -o eth1 -j ACCEPT

"iptables No Chain/target/match by that name"
Отправлено Elvirion , 24-Май-12 09:17

Скушал данное правило без проблем.
Вот только проблема осталась, перенаправление на почтовый сервер так и не будет, а все запросы пересылать на майл как то не то будет, надо чтобы только по 25 и 110 порту запросы слал туда..
Как это сделать с такой ошибкой ума не приложу..

"iptables No Chain/target/match by that name"
Отправлено Elvirion , 24-Май-12 10:02

разобрался с вопросом так в цепочке FORWARD небыло правил поэтому ругался на параматр -А поменял на
iptables -I FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 110 -j ACCEPT
все принял, на следующий порт без изменений принял
Далее
iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE
Нужно было указать -t nat тоесть
iptables -t nat -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE
Вот только проблема по конекту почтовых клиентов не разрешилась. Может подскажите где ошибся с настройками вроде так то должно все работать

"iptables No Chain/target/match by that name"
Отправлено Дмитрий , 24-Май-12 10:34

>[оверквотинг удален]
> ACCEPT
> все принял, на следующий порт без изменений принял
> Далее
> iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport
> 110 -j MASQUERADE
> Нужно было указать -t nat тоесть
> iptables -t nat -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p
> tcp --dport 110 -j MASQUERADE
> Вот только проблема по конекту почтовых клиентов не разрешилась. Может подскажите где
> ошибся с настройками вроде так то должно все работать
А зачем MASQUERADE просто сделайте проброс портов наружу. В почтовой программе пропишите соединение через PROXY а сервера оставьте маловские в пакое. Почтовик сам через прокси выйдет наружу и найдет ip майла. Простой проброс портов от интерфейса смотрящего в локальную сеть до смотрящего в интернет.

"iptables No Chain/target/match by that name"
Отправлено Elvirion , 24-Май-12 10:47

> А зачем MASQUERADE просто сделайте проброс портов наружу. В почтовой программе пропишите
> соединение через PROXY а сервера оставьте маловские в пакое. Почтовик сам
> через прокси выйдет наружу и найдет ip майла. Простой проброс портов
> от интерфейса смотрящего в локальную сеть до смотрящего в интернет.
Все бы получилось если бы был другой прокси а CQuid он же только HTTP.
Поэтому почтовые клиенты не могут с ним работать на прямую. поэтому маскировать чтобы передать вот только почему не работает, не могу разобраться.
сейчас погуглил нашел конфигурацию через Snat, -A POSTROUTING -s 192.168.1.0/24 -d ip_addr_pop.mail.ru/32 --dport 110 -j SNAT --to-source external_ip_addr
но как я понял он не поддерживает параметр --dport

"iptables No Chain/target/match by that name"
Отправлено Дмитрий , 24-Май-12 10:49

>[оверквотинг удален]
>> соединение через PROXY а сервера оставьте маловские в пакое. Почтовик сам
>> через прокси выйдет наружу и найдет ip майла. Простой проброс портов
>> от интерфейса смотрящего в локальную сеть до смотрящего в интернет.
> Все бы получилось если бы был другой прокси а CQuid он же
> только HTTP.
> Поэтому почтовые клиенты не могут с ним работать на прямую. поэтому маскировать
> чтобы передать вот только почему не работает, не могу разобраться.
> сейчас погуглил нашел конфигурацию через Snat, -A POSTROUTING -s 192.168.1.0/24 -d ip_addr_pop.mail.ru/32
> --dport 110 -j SNAT --to-source external_ip_addr
> но как я понял он не поддерживает параметр --dport
А в чем проблема на скорую руку развернуть SQUID ?
А там только ваше воображение вас....

"iptables No Chain/target/match by that name"
Отправлено Elvirion , 24-Май-12 10:56

>[оверквотинг удален]
>>> от интерфейса смотрящего в локальную сеть до смотрящего в интернет.
>> Все бы получилось если бы был другой прокси а CQuid он же
>> только HTTP.
>> Поэтому почтовые клиенты не могут с ним работать на прямую. поэтому маскировать
>> чтобы передать вот только почему не работает, не могу разобраться.
>> сейчас погуглил нашел конфигурацию через Snat, -A POSTROUTING -s 192.168.1.0/24 -d ip_addr_pop.mail.ru/32
>> --dport 110 -j SNAT --to-source external_ip_addr
>> но как я понял он не поддерживает параметр --dport
> А в чем проблема на скорую руку развернуть SQUID ?
> А там только ваше воображение вас....
он как раз и развернут, но он же hhtp прокси и работать с почтой не умеет, как прозрачный его делать не вариант нужно строгое лимитирование авторизация илог по пользователям(

"iptables No Chain/target/match by that name"
Отправлено Дмитрий , 24-Май-12 11:01

Просто наружу пробросьте порты.Открытое хождение по 25 и 110или по (IMAP) порту.Зачем вам считать трафик МАЙЛА ? И пускай почта ходит сама по себе. Как у меня все сделанно. Почтавик подключен через роутре. Почтавик достукивается до роутера тот его пробрасывает через себя в интернет.

"iptables No Chain/target/match by that name"
Отправлено Elvirion , 24-Май-12 11:17

> Просто наружу пробросьте порты.Открытое хождение по 25 и 110или по (IMAP) порту.Зачем
> вам считать трафик МАЙЛА ? И пускай почта ходит сама по
> себе. Как у меня все сделанно. Почтавик подключен через роутре. Почтавик
> достукивается до роутера тот его пробрасывает через себя в интернет.
Не могли бы вы написать правила? просто за эти 4 дня голова уже кипит вроде сделал редирект сразу на интернет но не фурыкает..

"iptables No Chain/target/match by that name"
Отправлено Дмитрий , 24-Май-12 11:23

>> Просто наружу пробросьте порты.Открытое хождение по 25 и 110или по (IMAP) порту.Зачем
>> вам считать трафик МАЙЛА ? И пускай почта ходит сама по
>> себе. Как у меня все сделанно. Почтавик подключен через роутре. Почтавик
>> достукивается до роутера тот его пробрасывает через себя в интернет.
> Не могли бы вы написать правила? просто за эти 4 дня голова
> уже кипит вроде сделал редирект сразу на интернет но не фурыкает..
Сам начанал делать по этой статье , оставил как пример.
http://forum.ubuntu.ru/index.php?topic=37874.0
#Проброс портов на внутренний почтовый сервер и обратно
#eth1 = Локалка
#eth2 = Инет
#Всех пускать на сервер по обоим интерфейсам, но никого не форвардить
iptables -F INPUT
iptables -Z INPUT
iptables -P INPUT ACCEPT
iptables -F OUTPUT
iptables -Z OUTPUT
iptables -P OUTPUT ACCEPT
iptables -F FORWARD
iptables -Z FORWARD
iptables -P FORWARD DROP
#разрешить фильтрацию портов в обоих направлениях
iptables -t filter -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 110 -j ACCEPT
#собственно проброс портов в локалку и обратно
iptables -t nat -A PREROUTING --dst 217.116.xx.xx -p tcp --dport 25 -j DNAT --to-destination 192.168.100.1:3025
iptables -t nat -A PREROUTING --dst 217.116.xx.xx -p tcp --dport 110 -j DNAT --to-destination 192.168.100.1:3110
iptables -t nat -A POSTROUTING --dst 192.168.100.1 -p tcp --dport 25 -j SNAT --to-source 217.116.xx.xx
iptables -t nat -A POSTROUTING --dst 192.168.100.1 -p tcp --dport 110 -j SNAT --to-source 217.116.xx.xx

"iptables No Chain/target/match by that name"
Отправлено Дмитрий , 24-Май-12 11:24

Сразу скажу это скрипт и уменя такой стартует вместе с машиной.

"iptables No Chain/target/match by that name"
Отправлено Elvirion , 24-Май-12 11:26

Спасибо большое. буду разбираться