Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

iptables No Chain/target/match by that name, Алексей (??), 24-Май-12, (0) [смотреть все] конкретнее опишите что вы хотите сделать каждой строчкой Домен на Ubuntu подня, Дмитрий (??), 08:27 , 24-Май-12, (1) // Да домен поднят на Ubuntu, такое уж наследство досталось от прошлого работника , Elvirion (ok), 08:34 , 24-Май-12, (2)   // Забыл сказать что машины не виртуальные , Elvirion (ok), 08:35 , 24-Май-12, (3)   // Ну и наследство у вас Крутил как то Домен на Linux Лучше Windows server пока н, Дмитрий (??), 08:58 , 24-Май-12, (4)   Скушал данное правило без проблем Вот только проблема осталась, перенаправление , Elvirion (ok), 09:17 , 24-Май-12, (5)   разобрался с вопросом так в цепочке FORWARD небыло правил поэтому ругался на пар, Elvirion (ok), 10:02 , 24-Май-12, (6) +1   gt оверквотинг удален А зачем MASQUERADE просто сделайте проброс портов наружу, Дмитрий (??), 10:34 , 24-Май-12, (7)   Все бы получилось если бы был другой прокси а CQuid он же только HTTP Поэтому по, Elvirion (ok), 10:47 , 24-Май-12, (8)   gt оверквотинг удален А в чем проблема на скорую руку развернуть SQUID А там , Дмитрий (??), 10:49 , 24-Май-12, (9)   gt оверквотинг удален он как раз и развернут, но он же hhtp прокси и работать , Elvirion (ok), 10:56 , 24-Май-12, (10)   Просто наружу пробросьте порты Открытое хождение по 25 и 110или по IMAP порту , Дмитрий (??), 11:01 , 24-Май-12, (11)   Не могли бы вы написать правила просто за эти 4 дня голова уже кипит вроде сдел, Elvirion (ok), 11:17 , 24-Май-12, (12)   Сам начанал делать по этой статье , оставил как пример http forum ubuntu ru , Дмитрий (??), 11:23 , 24-Май-12, (13)   Сразу скажу это скрипт и уменя такой стартует вместе с машиной , Дмитрий (??), 11:24 , 24-Май-12, (14)   Спасибо большое буду разбираться, Elvirion (ok), 11:26 , 24-Май-12, (15)   1

Сообщения

[Сортировка по времени | RSS]

	2. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Elvirion (ok), 24-Май-12, 08:34
	> конкретнее опишите что вы хотите сделать каждой строчкой . Домен на Ubuntu > поднят ? Машины случаем не виртуальные ? не могу понять суть > маневра засунуть и домени и файлапомойку и кальмара на однк машину > с UBUNTU... Да домен поднят на Ubuntu, такое уж наследство досталось от прошлого работника. все на одном серваке:( iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 110 -j ACCEPT разрешить 110 порт iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 25 -j ACCEPT разрешить 25 порт так как используются для поп3 и smtp iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE при обрашении с машины клиента по порту 110 перенаправить на сервер mail.ru следующая команда тоже самое только на 25 порт
	Ответить | Правка | Наверх | Cообщить модератору

	3. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Elvirion (ok), 24-Май-12, 08:35
	Забыл сказать что машины не виртуальные.
	Ответить | Правка | Наверх | Cообщить модератору

	4. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Дмитрий (??), 24-Май-12, 08:58
	> Забыл сказать что машины не виртуальные. Ну и наследство у вас. Крутил как то Домен на Linux. Лучше Windows server пока не предуманно, для моих нужд. Что-то подобное было городил я на одной машине лес вышел из ситуации разрешив все , а потом прописав остальные правила. Так как IPTABLES считывает правила с верху в низ. попробуйте. iptables -I FORWARD 2 -i eth0 -o eth1 -j ACCEPT
	Ответить | Правка | Наверх | Cообщить модератору

	5. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Elvirion (ok), 24-Май-12, 09:17
	Скушал данное правило без проблем. Вот только проблема осталась, перенаправление на почтовый сервер так и не будет, а все запросы пересылать на майл как то не то будет, надо чтобы только по 25 и 110 порту запросы слал туда.. Как это сделать с такой ошибкой ума не приложу..
	Ответить | Правка | Наверх | Cообщить модератору

	6. "iptables No Chain/target/match by that name"	+1 +/–
	Сообщение от Elvirion (ok), 24-Май-12, 10:02
	разобрался с вопросом так в цепочке FORWARD небыло правил поэтому ругался на параматр -А поменял на iptables -I FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 110 -j ACCEPT все принял, на следующий порт без изменений принял Далее iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE Нужно было указать -t nat тоесть iptables -t nat -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE Вот только проблема по конекту почтовых клиентов не разрешилась. Может подскажите где ошибся с настройками вроде так то должно все работать
	Ответить | Правка | Наверх | Cообщить модератору

	7. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Дмитрий (??), 24-Май-12, 10:34
	>[оверквотинг удален] > ACCEPT > все принял, на следующий порт без изменений принял > Далее > iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport > 110 -j MASQUERADE > Нужно было указать -t nat тоесть > iptables -t nat -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p > tcp --dport 110 -j MASQUERADE > Вот только проблема по конекту почтовых клиентов не разрешилась. Может подскажите где > ошибся с настройками вроде так то должно все работать А зачем MASQUERADE просто сделайте проброс портов наружу. В почтовой программе пропишите соединение через PROXY а сервера оставьте маловские в пакое. Почтовик сам через прокси выйдет наружу и найдет ip майла. Простой проброс портов от интерфейса смотрящего в локальную сеть до смотрящего в интернет.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Elvirion (ok), 24-Май-12, 10:47
	> А зачем MASQUERADE просто сделайте проброс портов наружу. В почтовой программе пропишите > соединение через PROXY а сервера оставьте маловские в пакое. Почтовик сам > через прокси выйдет наружу и найдет ip майла. Простой проброс портов > от интерфейса смотрящего в локальную сеть до смотрящего в интернет. Все бы получилось если бы был другой прокси а CQuid он же только HTTP. Поэтому почтовые клиенты не могут с ним работать на прямую. поэтому маскировать чтобы передать вот только почему не работает, не могу разобраться. сейчас погуглил нашел конфигурацию через Snat, -A POSTROUTING -s 192.168.1.0/24 -d ip_addr_pop.mail.ru/32 --dport 110 -j SNAT --to-source external_ip_addr но как я понял он не поддерживает параметр --dport
	Ответить | Правка | Наверх | Cообщить модератору

	9. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Дмитрий (??), 24-Май-12, 10:49
	>[оверквотинг удален] >> соединение через PROXY а сервера оставьте маловские в пакое. Почтовик сам >> через прокси выйдет наружу и найдет ip майла. Простой проброс портов >> от интерфейса смотрящего в локальную сеть до смотрящего в интернет. > Все бы получилось если бы был другой прокси а CQuid он же > только HTTP. > Поэтому почтовые клиенты не могут с ним работать на прямую. поэтому маскировать > чтобы передать вот только почему не работает, не могу разобраться. > сейчас погуглил нашел конфигурацию через Snat, -A POSTROUTING -s 192.168.1.0/24 -d ip_addr_pop.mail.ru/32 > --dport 110 -j SNAT --to-source external_ip_addr >  но как я понял он не поддерживает параметр --dport А в чем проблема на скорую руку развернуть SQUID ? А там только ваше воображение вас....
	Ответить | Правка | Наверх | Cообщить модератору

	10. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Elvirion (ok), 24-Май-12, 10:56
	>[оверквотинг удален] >>> от интерфейса смотрящего в локальную сеть до смотрящего в интернет. >> Все бы получилось если бы был другой прокси а CQuid он же >> только HTTP. >> Поэтому почтовые клиенты не могут с ним работать на прямую. поэтому маскировать >> чтобы передать вот только почему не работает, не могу разобраться. >> сейчас погуглил нашел конфигурацию через Snat, -A POSTROUTING -s 192.168.1.0/24 -d ip_addr_pop.mail.ru/32 >> --dport 110 -j SNAT --to-source external_ip_addr >>  но как я понял он не поддерживает параметр --dport > А в чем проблема на скорую руку развернуть SQUID ? > А там только ваше воображение вас.... он как раз и развернут, но он же hhtp прокси и работать с почтой не умеет, как прозрачный его делать не вариант нужно строгое лимитирование авторизация илог по пользователям(
	Ответить | Правка | Наверх | Cообщить модератору

	11. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Дмитрий (??), 24-Май-12, 11:01
	Просто наружу пробросьте порты.Открытое хождение по 25 и 110или по (IMAP) порту.Зачем вам считать трафик МАЙЛА ? И пускай почта ходит сама по себе. Как у меня все сделанно. Почтавик подключен через роутре. Почтавик достукивается до роутера тот его пробрасывает через себя в интернет.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Elvirion (ok), 24-Май-12, 11:17
	> Просто наружу пробросьте порты.Открытое хождение по 25 и 110или по (IMAP) порту.Зачем > вам считать трафик МАЙЛА ? И пускай почта ходит сама по > себе. Как у меня все сделанно. Почтавик подключен через роутре. Почтавик > достукивается до роутера тот его пробрасывает через себя в интернет. Не могли бы вы написать правила? просто за эти 4 дня голова уже кипит вроде сделал редирект сразу на интернет но не фурыкает..
	Ответить | Правка | Наверх | Cообщить модератору

	13. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Дмитрий (??), 24-Май-12, 11:23
	>> Просто наружу пробросьте порты.Открытое хождение по 25 и 110или по (IMAP) порту.Зачем >> вам считать трафик МАЙЛА ? И пускай почта ходит сама по >> себе. Как у меня все сделанно. Почтавик подключен через роутре. Почтавик >> достукивается до роутера тот его пробрасывает через себя в интернет. > Не могли бы вы написать правила? просто за эти 4 дня голова > уже кипит вроде сделал редирект сразу на интернет но не фурыкает.. Сам начанал делать по этой статье , оставил как пример.   http://forum.ubuntu.ru/index.php?topic=37874.0 #Проброс портов на внутренний почтовый сервер и обратно #eth1 = Локалка #eth2 = Инет #Всех пускать на сервер по обоим интерфейсам, но никого не форвардить iptables -F INPUT iptables -Z INPUT iptables -P INPUT ACCEPT iptables -F OUTPUT iptables -Z OUTPUT iptables -P OUTPUT ACCEPT iptables -F FORWARD iptables -Z FORWARD iptables -P FORWARD DROP #разрешить фильтрацию портов в обоих направлениях iptables -t filter -A FORWARD -p tcp --dport 25 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 110 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 25 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 110 -j ACCEPT #собственно проброс портов в локалку и обратно iptables -t nat -A PREROUTING --dst 217.116.xx.xx -p tcp --dport 25 -j DNAT --to-destination 192.168.100.1:3025 iptables -t nat -A PREROUTING --dst 217.116.xx.xx -p tcp --dport 110 -j DNAT --to-destination 192.168.100.1:3110 iptables -t nat -A POSTROUTING --dst 192.168.100.1 -p tcp --dport 25 -j SNAT --to-source 217.116.xx.xx iptables -t nat -A POSTROUTING --dst 192.168.100.1 -p tcp --dport 110 -j SNAT --to-source 217.116.xx.xx
	Ответить | Правка | Наверх | Cообщить модератору

	14. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Дмитрий (??), 24-Май-12, 11:24
	Сразу скажу это скрипт и уменя такой стартует вместе с машиной.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	15. "iptables No Chain/target/match by that name"	+/–
	Сообщение от Elvirion (ok), 24-Май-12, 11:26
	Спасибо большое. буду разбираться
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема