iptables No Chain/target/match by that name, Алексей, 24-Май-12, 07:32 [смотреть все]Доброго времени суток. Суть проблемы такая, на работе сервер поднят на Ubuntu, где настроен прокси SQUID. Раньше интернет раздовался через роутер теперь возникла необходимость использовать проксю, Прокся работает но почтовые клиенты не подключаются к серверу в данному случае к mail.ru. Пробовал настроить через WEBMIN, так как только начинаю разбираться с системой ковырял долго и безрезультатно. Перешел на консольку составил такие правила для iptables. eth0 с ip 192.168.2.1 смотрит в локалку, ip 192.168.2.3 машины на которой должен работать почтовый клиент. iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 25 -j ACCEPT iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 25 -j MASQUERADE Но при вводе iptables выдает ошибку no chain/target/match by that name Помогите пожалуйста. Пробовал убирать -m tcp результат тот же. Сервер сильно трогать не могу так как он используется и как доменный и еще и файловый сервер
|
- iptables No Chain/target/match by that name, Дмитрий, 08:27 , 24-Май-12 (1)
конкретнее опишите что вы хотите сделать каждой строчкой . Домен на Ubuntu поднят ? Машины случаем не виртуальные ? не могу понять суть маневра засунуть и домени и файлапомойку и кальмара на однк машину с UBUNTU...
- iptables No Chain/target/match by that name, Elvirion, 08:34 , 24-Май-12 (2)
> конкретнее опишите что вы хотите сделать каждой строчкой . Домен на Ubuntu > поднят ? Машины случаем не виртуальные ? не могу понять суть > маневра засунуть и домени и файлапомойку и кальмара на однк машину > с UBUNTU...Да домен поднят на Ubuntu, такое уж наследство досталось от прошлого работника. все на одном серваке:( iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 110 -j ACCEPT разрешить 110 порт iptables -A FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 25 -j ACCEPT разрешить 25 порт так как используются для поп3 и smtp iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE при обрашении с машины клиента по порту 110 перенаправить на сервер mail.ru следующая команда тоже самое только на 25 порт
- iptables No Chain/target/match by that name, Elvirion, 08:35 , 24-Май-12 (3)
Забыл сказать что машины не виртуальные.
- iptables No Chain/target/match by that name, Дмитрий, 08:58 , 24-Май-12 (4)
> Забыл сказать что машины не виртуальные.Ну и наследство у вас. Крутил как то Домен на Linux. Лучше Windows server пока не предуманно, для моих нужд. Что-то подобное было городил я на одной машине лес вышел из ситуации разрешив все , а потом прописав остальные правила. Так как IPTABLES считывает правила с верху в низ. попробуйте. iptables -I FORWARD 2 -i eth0 -o eth1 -j ACCEPT
- iptables No Chain/target/match by that name, Elvirion, 09:17 , 24-Май-12 (5)
Скушал данное правило без проблем. Вот только проблема осталась, перенаправление на почтовый сервер так и не будет, а все запросы пересылать на майл как то не то будет, надо чтобы только по 25 и 110 порту запросы слал туда.. Как это сделать с такой ошибкой ума не приложу..
- iptables No Chain/target/match by that name, Elvirion, 10:02 , 24-Май-12 (6) +1
разобрался с вопросом так в цепочке FORWARD небыло правил поэтому ругался на параматр -А поменял на iptables -I FORWARD -i eth0 -d 192.168.2.1 -p tcp --dport 110 -j ACCEPT все принял, на следующий порт без изменений принял Далее iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE Нужно было указать -t nat тоесть iptables -t nat -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport 110 -j MASQUERADE Вот только проблема по конекту почтовых клиентов не разрешилась. Может подскажите где ошибся с настройками вроде так то должно все работать
- iptables No Chain/target/match by that name, Дмитрий, 10:34 , 24-Май-12 (7)
>[оверквотинг удален] > ACCEPT > все принял, на следующий порт без изменений принял > Далее > iptables -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p tcp --dport > 110 -j MASQUERADE > Нужно было указать -t nat тоесть > iptables -t nat -A POSTROUTING -s 192.168.2.3 -d 94.100.191.203 -m tcp -p > tcp --dport 110 -j MASQUERADE > Вот только проблема по конекту почтовых клиентов не разрешилась. Может подскажите где > ошибся с настройками вроде так то должно все работать А зачем MASQUERADE просто сделайте проброс портов наружу. В почтовой программе пропишите соединение через PROXY а сервера оставьте маловские в пакое. Почтовик сам через прокси выйдет наружу и найдет ip майла. Простой проброс портов от интерфейса смотрящего в локальную сеть до смотрящего в интернет.
- iptables No Chain/target/match by that name, Elvirion, 10:47 , 24-Май-12 (8)
> А зачем MASQUERADE просто сделайте проброс портов наружу. В почтовой программе пропишите > соединение через PROXY а сервера оставьте маловские в пакое. Почтовик сам > через прокси выйдет наружу и найдет ip майла. Простой проброс портов > от интерфейса смотрящего в локальную сеть до смотрящего в интернет.Все бы получилось если бы был другой прокси а CQuid он же только HTTP. Поэтому почтовые клиенты не могут с ним работать на прямую. поэтому маскировать чтобы передать вот только почему не работает, не могу разобраться. сейчас погуглил нашел конфигурацию через Snat, -A POSTROUTING -s 192.168.1.0/24 -d ip_addr_pop.mail.ru/32 --dport 110 -j SNAT --to-source external_ip_addr но как я понял он не поддерживает параметр --dport
- iptables No Chain/target/match by that name, Дмитрий, 10:49 , 24-Май-12 (9)
>[оверквотинг удален] >> соединение через PROXY а сервера оставьте маловские в пакое. Почтовик сам >> через прокси выйдет наружу и найдет ip майла. Простой проброс портов >> от интерфейса смотрящего в локальную сеть до смотрящего в интернет. > Все бы получилось если бы был другой прокси а CQuid он же > только HTTP. > Поэтому почтовые клиенты не могут с ним работать на прямую. поэтому маскировать > чтобы передать вот только почему не работает, не могу разобраться. > сейчас погуглил нашел конфигурацию через Snat, -A POSTROUTING -s 192.168.1.0/24 -d ip_addr_pop.mail.ru/32 > --dport 110 -j SNAT --to-source external_ip_addr > но как я понял он не поддерживает параметр --dport А в чем проблема на скорую руку развернуть SQUID ? А там только ваше воображение вас....
- iptables No Chain/target/match by that name, Elvirion, 10:56 , 24-Май-12 (10)
>[оверквотинг удален] >>> от интерфейса смотрящего в локальную сеть до смотрящего в интернет. >> Все бы получилось если бы был другой прокси а CQuid он же >> только HTTP. >> Поэтому почтовые клиенты не могут с ним работать на прямую. поэтому маскировать >> чтобы передать вот только почему не работает, не могу разобраться. >> сейчас погуглил нашел конфигурацию через Snat, -A POSTROUTING -s 192.168.1.0/24 -d ip_addr_pop.mail.ru/32 >> --dport 110 -j SNAT --to-source external_ip_addr >> но как я понял он не поддерживает параметр --dport > А в чем проблема на скорую руку развернуть SQUID ? > А там только ваше воображение вас....он как раз и развернут, но он же hhtp прокси и работать с почтой не умеет, как прозрачный его делать не вариант нужно строгое лимитирование авторизация илог по пользователям(
- iptables No Chain/target/match by that name, Дмитрий, 11:01 , 24-Май-12 (11)
Просто наружу пробросьте порты.Открытое хождение по 25 и 110или по (IMAP) порту.Зачем вам считать трафик МАЙЛА ? И пускай почта ходит сама по себе. Как у меня все сделанно. Почтавик подключен через роутре. Почтавик достукивается до роутера тот его пробрасывает через себя в интернет.
- iptables No Chain/target/match by that name, Elvirion, 11:17 , 24-Май-12 (12)
> Просто наружу пробросьте порты.Открытое хождение по 25 и 110или по (IMAP) порту.Зачем > вам считать трафик МАЙЛА ? И пускай почта ходит сама по > себе. Как у меня все сделанно. Почтавик подключен через роутре. Почтавик > достукивается до роутера тот его пробрасывает через себя в интернет.Не могли бы вы написать правила? просто за эти 4 дня голова уже кипит вроде сделал редирект сразу на интернет но не фурыкает..
- iptables No Chain/target/match by that name, Дмитрий, 11:23 , 24-Май-12 (13)
>> Просто наружу пробросьте порты.Открытое хождение по 25 и 110или по (IMAP) порту.Зачем >> вам считать трафик МАЙЛА ? И пускай почта ходит сама по >> себе. Как у меня все сделанно. Почтавик подключен через роутре. Почтавик >> достукивается до роутера тот его пробрасывает через себя в интернет. > Не могли бы вы написать правила? просто за эти 4 дня голова > уже кипит вроде сделал редирект сразу на интернет но не фурыкает.. Сам начанал делать по этой статье , оставил как пример. http://forum.ubuntu.ru/index.php?topic=37874.0 #Проброс портов на внутренний почтовый сервер и обратно #eth1 = Локалка #eth2 = Инет #Всех пускать на сервер по обоим интерфейсам, но никого не форвардить iptables -F INPUT iptables -Z INPUT iptables -P INPUT ACCEPT iptables -F OUTPUT iptables -Z OUTPUT iptables -P OUTPUT ACCEPT iptables -F FORWARD iptables -Z FORWARD iptables -P FORWARD DROP #разрешить фильтрацию портов в обоих направлениях iptables -t filter -A FORWARD -p tcp --dport 25 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 110 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 25 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 110 -j ACCEPT #собственно проброс портов в локалку и обратно iptables -t nat -A PREROUTING --dst 217.116.xx.xx -p tcp --dport 25 -j DNAT --to-destination 192.168.100.1:3025 iptables -t nat -A PREROUTING --dst 217.116.xx.xx -p tcp --dport 110 -j DNAT --to-destination 192.168.100.1:3110 iptables -t nat -A POSTROUTING --dst 192.168.100.1 -p tcp --dport 25 -j SNAT --to-source 217.116.xx.xx iptables -t nat -A POSTROUTING --dst 192.168.100.1 -p tcp --dport 110 -j SNAT --to-source 217.116.xx.xx
- iptables No Chain/target/match by that name, Дмитрий, 11:24 , 24-Май-12 (14)
Сразу скажу это скрипт и уменя такой стартует вместе с машиной.
- iptables No Chain/target/match by that name, Elvirion, 11:26 , 24-Май-12 (15)
Спасибо большое. буду разбираться
|