forum.opennet.ru - "пересылка спама!!!" (15)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"пересылка спама!!!"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"пересылка спама!!!"
Сообщение от melnik (??) on 29-Янв-07, 12:28
помогите определить где ошибка, провавйдер говорит что через меня пересылается спам!!! почтовый сервер на серваке не установлен, почту клиенты получают с удалённого сервера, как прописать что бы почту могли отправлять и получать только определёные IP это мой файл маскарад #!/bin/bash IPTABLES='/sbin/iptables' EXTIF='eth0' INTIF_1='eth1' INTIF_2='eth2' INTIF_3='eth3' #Форвардинг в ядре echo 1 > /proc/sys/net/ipv4/ip_forward #Сброс и удаление всех цепочек $IPTABLES -F $IPTABLES -X $IPTABLES -t nat -F $IPTABLES -t nat -X #Маскарадинг $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE #форвардинг $IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT #Пускаем на SSH с наружи $IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT #$IPTABLES -A INPUT --protocol tcp --dport 1433 -j ACCEPT $IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 21 -j ACCEPT #проброс порта сквида $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 $IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 3128 $IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128 $IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port 3128 #Все остальное убиваем $IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP $IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

пересылка спама!!!, halt, 15:54 , 29-Янв-07, (1)
пересылка спама!!!, mavas, 17:00 , 29-Янв-07, (2)

пересылка спама!!!, melnik, 17:12 , 29-Янв-07, (3)

пересылка спама!!!, mavas, 17:25 , 29-Янв-07, (4)

пересылка спама!!!, melnik, 22:06 , 29-Янв-07, (5)

пересылка спама!!!, Oyyo, 22:55 , 29-Янв-07, (6)
пересылка спама!!!, mavas, 06:16 , 30-Янв-07, (7)

пересылка спама!!!, melnik, 13:52 , 30-Янв-07, (8)

пересылка спама!!!, mavas, 17:15 , 30-Янв-07, (9)

пересылка спама!!!, melnik, 18:09 , 30-Янв-07, (10)

пересылка спама!!!, Oyyo, 18:24 , 30-Янв-07, (11)

пересылка спама!!!, melnik, 18:46 , 30-Янв-07, (12)

пересылка спама!!!, Oyyo, 19:00 , 30-Янв-07, (13)

пересылка спама!!!, melnik, 19:03 , 30-Янв-07, (14)
пересылка спама!!!, Oyyo, 19:15 , 30-Янв-07, (15)

Сообщения по теме [Сортировка по времени, UBB]

1. "пересылка спама!!!"

Сообщение от halt (??) on 29-Янв-07, 15:54

в iptables не силен но если пользователь работает через nat то фактически каждый пользователь может отправлять почту на любой сервер. вирусы именно это и делают :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "пересылка спама!!!"

Сообщение от mavas on 29-Янв-07, 17:00

>помогите определить где ошибка, провавйдер говорит что через меня пересылается спам!!!
>почтовый сервер на серваке не установлен, почту клиенты получают с удалённого сервера,
>как прописать что бы почту могли отправлять и получать только определёные
>IP
>
>это мой файл маскарад
>#!/bin/bash
>
>IPTABLES='/sbin/iptables'
>
>EXTIF='eth0'
>INTIF_1='eth1'
>INTIF_2='eth2'
>INTIF_3='eth3'
>#Форвардинг в ядре
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
>#Сброс и удаление всех цепочек
>$IPTABLES -F
>$IPTABLES -X
>$IPTABLES -t nat -F
>$IPTABLES -t nat -X
>
>#Маскарадинг
>$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>
>#форвардинг
>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>
>#Пускаем на SSH с наружи
>$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT
>
>
>
>#$IPTABLES -A INPUT --protocol tcp --dport 1433 -j ACCEPT
>
>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>
>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>#проброс порта сквида
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port
>3128
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port
>3128
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port
>3128
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port
>3128
>
>#Все остальное убиваем
>$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
>$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP
Вот так примерно
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j DROP
Эта цепочка убъет все пакеты идущие через твою машину с интерфейса $INTIF на $EXTIF от адреса $INT_IP на порт 25, то есть это запрещение конкретных адресов
Если хочешь разрешить комуто, а остальных отрубить, то тогда тебе надо
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j DROP
тут важна последовательность, сначала разрешил, а потом запретил, правила применятся по порядку, что выше то имеет больший вес.
Тут соттветственно INT_IP пройдет, а все остальное DROP
25 порт это отправка почты, если чтоб и не получали тоды надо 110 еще рубить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "пересылка спама!!!"

Сообщение от melnik (??) on 29-Янв-07, 17:12

>>помогите определить где ошибка, провавйдер говорит что через меня пересылается спам!!!
>>почтовый сервер на серваке не установлен, почту клиенты получают с удалённого сервера,
>>как прописать что бы почту могли отправлять и получать только определёные
>>IP
>>
>>это мой файл маскарад
>>#!/bin/bash
>>
>>IPTABLES='/sbin/iptables'
>>
>>EXTIF='eth0'
>>INTIF_1='eth1'
>>INTIF_2='eth2'
>>INTIF_3='eth3'
>>#Форвардинг в ядре
>>echo 1 > /proc/sys/net/ipv4/ip_forward
>>
>>#Сброс и удаление всех цепочек
>>$IPTABLES -F
>>$IPTABLES -X
>>$IPTABLES -t nat -F
>>$IPTABLES -t nat -X
>>
>>#Маскарадинг
>>$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>>
>>#форвардинг
>>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>
>>#Пускаем на SSH с наружи
>>$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT
>>
>>
>>
>>#$IPTABLES -A INPUT --protocol tcp --dport 1433 -j ACCEPT
>>
>>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 20 -j ACCEPT
>>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 21 -j ACCEPT
>>
>>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 20 -j ACCEPT
>>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 21 -j ACCEPT
>>#проброс порта сквида
>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port
>>3128
>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port
>>3128
>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port
>>3128
>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port
>>3128
>>
>>#Все остальное убиваем
>>$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
>>$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP
>
>Вот так примерно
>
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>25 -j DROP
>
>Эта цепочка убъет все пакеты идущие через твою машину с интерфейса $INTIF
>на $EXTIF от адреса $INT_IP на порт 25, то есть это
>запрещение конкретных адресов
>
>Если хочешь разрешить комуто, а остальных отрубить, то тогда тебе надо
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>DROP
>тут важна последовательность, сначала разрешил, а потом запретил, правила применятся по порядку,
>что выше то имеет больший вес.
>Тут соттветственно INT_IP пройдет, а все остальное DROP
>
>25 порт это отправка почты, если чтоб и не получали тоды надо
>110 еще рубить.
тоесть если я пропишу так
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j DROP
как я понимаю только определённый машины смогут отправлять почту
а как приписать айпи кто может отправлять почту???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "пересылка спама!!!"

Сообщение от mavas on 29-Янв-07, 17:25

>тоесть если я пропишу так
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>DROP
>
>как я понимаю только определённый машины смогут отправлять почту
>а как приписать айпи кто может отправлять почту???
в начале пишешь
EXTIF="192.168.0.1/24"
или если понятней
EXTIF="192.168.0.1/255.255.255.0"
либо можно прям в цепочке
>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>25 -j ACCEPT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "пересылка спама!!!"

Сообщение от melnik (ok) on 29-Янв-07, 22:06

>>тоесть если я пропишу так
>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>>25 -j ACCEPT
>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>>DROP
>>
>>как я понимаю только определённый машины смогут отправлять почту
>>а как приписать айпи кто может отправлять почту???
>
>в начале пишешь
>EXTIF="192.168.0.1/24"
>
>или если понятней
>
>EXTIF="192.168.0.1/255.255.255.0"
>
>либо можно прям в цепочке
>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>>25 -j ACCEPT

чо то  не одно из этих правил непомогает!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "пересылка спама!!!"

Сообщение от Oyyo on 29-Янв-07, 22:55

сделай
tcpdump -n -i ethХ dst port 25 >/cpam.txt
ethX - интерфейс с локалкой
оставь этот процесс на определённое время,
потом анализируй с какой машины сколько уходит
почты, делай выводы, принимай меры

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "пересылка спама!!!"

Сообщение от mavas on 30-Янв-07, 06:16

>>>тоесть если я пропишу так
>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>>>25 -j ACCEPT
>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>>>DROP
>>>
>>>как я понимаю только определённый машины смогут отправлять почту
>>>а как приписать айпи кто может отправлять почту???
>>
>>в начале пишешь
>>EXTIF="192.168.0.1/24"
>>
>>или если понятней
>>
>>EXTIF="192.168.0.1/255.255.255.0"
>>
>>либо можно прям в цепочке
>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>>>25 -j ACCEPT
>
>
>чо то  не одно из этих правил непомогает!!!
А ты такие цепочки для всех своих внутренних подсетей прописал ?
У тебя 3 подсети внутренние, я же тебе пример написал.
Чтоб работало надо написать,ля всех
INTIF_1='eth1'
INTIF_2='eth2'
INTIF_3='eth3'
Потом к примеру надо пускать
#С первой подсети
INT_1_IP_1="192.168.0.10"
INT_1_IP_2="192.168.0.11"
#Со второй
INT_2_IP_1="192.168.1.30"
#С третьй
INT_3_IP_1="192.168.2.50"
#А потом для каждого
# Для первой подсети 2 адреса разрешили
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport 25 -j ACCEPT
#Остальное для первой убили
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j DROP
# Для второй
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j DROP
#Для третьей
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j DROP
Вот так должно заработать
Вообще есть чудо статья по iptables https://www.opennet.ru/docs/RUS/iptables/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "пересылка спама!!!"

Сообщение от melnik (ok) on 30-Янв-07, 13:52

>>>>тоесть если я пропишу так
>>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport
>>>>25 -j ACCEPT
>>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j
>>>>DROP
>>>>
>>>>как я понимаю только определённый машины смогут отправлять почту
>>>>а как приписать айпи кто может отправлять почту???
>>>
>>>в начале пишешь
>>>EXTIF="192.168.0.1/24"
>>>
>>>или если понятней
>>>
>>>EXTIF="192.168.0.1/255.255.255.0"
>>>
>>>либо можно прям в цепочке
>>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport
>>>>25 -j ACCEPT
>>
>>
>>чо то  не одно из этих правил непомогает!!!
>
>А ты такие цепочки для всех своих внутренних подсетей прописал ?
>У тебя 3 подсети внутренние, я же тебе пример написал.
>Чтоб работало надо написать,ля всех
>INTIF_1='eth1'
>INTIF_2='eth2'
>INTIF_3='eth3'
>
>Потом к примеру надо пускать
>#С первой подсети
>INT_1_IP_1="192.168.0.10"
>INT_1_IP_2="192.168.0.11"
>
>#Со второй
>INT_2_IP_1="192.168.1.30"
>
>#С третьй
>
>INT_3_IP_1="192.168.2.50"
>
>#А потом для каждого
># Для первой подсети 2 адреса разрешили
>
>$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport
>25 -j ACCEPT
>
>#Остальное для первой убили
>$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j
>DROP
>
># Для второй
>$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j
>DROP
>
>#Для третьей
>$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport
>25 -j ACCEPT
>$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j
>DROP
>
>Вот так должно заработать
>Вообще есть чудо статья по iptables https://www.opennet.ru/docs/RUS/iptables/

прописал всё как ты написал, почта всеровно уходит!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "пересылка спама!!!"

Сообщение от mavas on 30-Янв-07, 17:15

>прописал всё как ты написал, почта всеровно уходит!!!
Сделай
iptables -L -v -n
и на всяк случай iptables -L -v -n -t nat
выложи что получилось, посмотрим.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "пересылка спама!!!"

Сообщение от melnik (ok) on 30-Янв-07, 18:09

>
>>прописал всё как ты написал, почта всеровно уходит!!!
>
>Сделай
>iptables -L -v -n
>и на всяк случай iptables -L -v -n -t nat
>
>выложи что получилось, посмотрим.
[root@]# iptables -L -v -n
Chain INPUT (policy ACCEPT 135K packets, 30M bytes)
pkts bytes target     prot opt in     out     source               destination
  466 37652 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20
    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  eth2   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20
    0     0 ACCEPT     tcp  --  eth2   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  eth3   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20
    0     0 ACCEPT     tcp  --  eth3   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    0     0 DROP       all  --  eth0   *       62.141.50.175        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       66.103.134.9         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       82.195.132.245       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       82.159.86.238        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       218.228.80.254       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       61.211.237.180       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       63.204.205.245       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       66.201.244.225       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       67.69.105.30         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       61.211.237.180       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       203.144.229.199      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       59.42.83.204         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       61.129.117.112       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       220.119.33.251       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       61.95.194.109        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       222.112.249.123      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       80.100.232.9         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       202.39.97.140        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       83.246.118.252       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       66.236.238.4         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       211.176.61.119       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       202.177.184.40       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       202.63.192.13        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       83.246.118.252       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       194.126.99.220       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       210.244.225.13       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       66.236.238.4         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       64.58.144.44         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       210.114.174.177      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       65.19.155.219        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       195.114.174.177      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       211.238.253.248      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       84.37.11.11          0.0.0.0/0
    0     0 DROP       all  --  eth0   *       200.215.61.6         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       59.36.96.101         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       210.123.71.5         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       60.28.9.143          0.0.0.0/0
    0     0 DROP       all  --  eth0   *       212.113.123.130      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       210.6.101.220        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       207.203.211.140      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       222.82.253.178       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       66.14.62.125         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       203.207.224.67       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       83.167.5.158         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       209.164.117.32       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       202.131.114.112      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       83.206.167.193       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       202.232.130.80       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       66.44.210.252        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       221.154.250.38       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       210.21.234.11        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       84.19.186.36         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       218.1.65.233         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       67.138.80.15         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       213.168.177.20       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       201.6.101.230        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       60.28.9.243          0.0.0.0/0
    0     0 DROP       all  --  eth0   *       212.133.123.130      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       201.113.123.130      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       204.155.67.192       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       200.203.162.185      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       222.185.245.208      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       211.224.60.21        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       218.22.8.59          0.0.0.0/0
    0     0 DROP       all  --  eth0   *       202.108.40.59        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       213.169.137.62       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       58.94.4.28           0.0.0.0/0
    0     0 DROP       all  --  eth0   *       4.18.44.59           0.0.0.0/0
    0     0 DROP       all  --  eth0   *       200.96.178.100       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       218.62.27.125        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       61.220.36.148        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       195.136.49.178       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       211.231.62.131       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       213.202.214.51       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       64.182.37.226        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       88.214.86.118        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       69.90.30.227         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       82.165.175.220       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       82.207.62.50         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       222.45.29.200        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       202.155.214.169      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       61.107.94.199        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       60.190.78.94         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       59.77.6.195          0.0.0.0/0
    0     0 DROP       all  --  eth0   *       125.95.18.34         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       193.41.88.2          0.0.0.0/0
    0     0 DROP       all  --  eth0   *       212.40.43.122        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       203.155.165.85       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       80.97.64.181         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       202.127.0.66         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       212.251.120.94       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       60.48.26.206         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       206.137.17.223       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       81.19.44.2           0.0.0.0/0
    0     0 DROP       all  --  eth0   *       80.97.64.181         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       61.34.255.81         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       60.48.26.206         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       202.69.217.114       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       69.72.217.234        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       216.152.252.155      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       212.50.9.253         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       211.23.174.171       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       124.2.175.15         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       83.19.44.26          0.0.0.0/0
    0     0 DROP       all  --  eth0   *       62.117.126.220       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       218.249.36.56        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       211.170.242.10       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       218.7.13.215         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       212.50.9.253         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       211.23.174.171       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       222.234.2.86         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       59.41.39.115         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       218.25.62.92         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       213.52.227.121       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       203.158.228.2        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       151.164.60.251       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       222.216.27.40        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       125.241.141.131      0.0.0.0/0
    0     0 DROP       all  --  eth0   *       87.244.192.153       0.0.0.0/0
    0     0 DROP       all  --  eth0   *       61.78.244.88         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       218.12.46.18         0.0.0.0/0
    0     0 DROP       all  --  eth0   *       64.18.194.226        0.0.0.0/0
    0     0 DROP       all  --  eth0   *       193.41.88.2          0.0.0.0/0
    2   814 DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
Chain FORWARD (policy ACCEPT 44369 packets, 11M bytes)
pkts bytes target     prot opt in     out     source               destination
  189 10265 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED
    0     0 ACCEPT     all  --  eth2   eth0    0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED
    8   427 ACCEPT     all  --  eth3   eth0    0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.0.2          0.0.0.0/0           tcp dpt:25
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.0.11         0.0.0.0/0           tcp dpt:25
    0     0 DROP       tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    0     0 ACCEPT     tcp  --  eth2   eth0    192.168.4.2          0.0.0.0/0           tcp dpt:25
    0     0 DROP       tcp  --  eth2   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    0     0 ACCEPT     tcp  --  eth3   eth0    192.168.10.222       0.0.0.0/0           tcp dpt:25
    0     0 DROP       tcp  --  eth3   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    0     0 DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           state INVALID,NEW
Chain OUTPUT (policy ACCEPT 68104 packets, 29M bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0           tcp dpt:20
    0     0 ACCEPT     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  *      eth2    0.0.0.0/0            0.0.0.0/0           tcp dpt:20
    0     0 ACCEPT     tcp  --  *      eth2    0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    0     0 ACCEPT     tcp  --  *      eth3    0.0.0.0/0            0.0.0.0/0           tcp dpt:20
    0     0 ACCEPT     tcp  --  *      eth3    0.0.0.0/0            0.0.0.0/0           tcp dpt:21
iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 4774 packets, 421K bytes)
pkts bytes target     prot opt in     out     source               destination
   25  1200 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 redir ports 3128
    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 redir ports 3128
    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8081 redir ports 3128
Chain POSTROUTING (policy ACCEPT 24 packets, 1369 bytes)
pkts bytes target     prot opt in     out     source               destination
   34  1963 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT 2396 packets, 144K bytes)
pkts bytes target     prot opt in     out     source               destination

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "пересылка спама!!!"

Сообщение от Oyyo on 30-Янв-07, 18:24

обрати внимание, в цепочке форвард сначало всё разрешено
(зачем это делать если политика по умолчанию ACCEPT)
189 10265 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED
а потом пытаешься дропать
0     0 DROP       tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:25
поменяй правила местами, а лучше удали всё, что ACCEPT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "пересылка спама!!!"

Сообщение от melnik (ok) on 30-Янв-07, 18:46

>
>обрати внимание, в цепочке форвард сначало всё разрешено
>(зачем это делать если политика по умолчанию ACCEPT)
>189 10265 ACCEPT     all  --  eth1
>  eth0    0.0.0.0/0
>       0.0.0.0/0
>       state NEW,ESTABLISHED
>
>а потом пытаешься дропать
> 0     0 DROP
>  tcp  --  eth1   eth0
>  0.0.0.0/0
>   0.0.0.0/0
>   tcp dpt:25
>
>поменяй правила местами, а лучше удали всё, что ACCEPT

ура работает, всем посибо
я сделал как ты подсказал. поменял местами

######################################################################################
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j DROP
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j DROP
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j DROP
######################################################################################
#форвардинг
$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
я только начинаю осваивать эти таблицы, а что означают последнии 3 строки (форвардинг)
всем посибо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "пересылка спама!!!"

Сообщение от Oyyo on 30-Янв-07, 19:00

>я только начинаю осваивать эти таблицы, а что означают последнии 3 строки
>(форвардинг)
>всем посибо

>#форвардинг
>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>ACCEPT
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "пересылка спама!!!"

Сообщение от melnik (ok) on 30-Янв-07, 19:03

>
>>я только начинаю осваивать эти таблицы, а что означают последнии 3 строки
>>(форвардинг)
>>всем посибо
>
>
>>#форвардинг
>>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>
ага что это значит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "пересылка спама!!!"

Сообщение от Oyyo on 30-Янв-07, 19:15

Упсс!!! блин клавиша интер в ненужный момент
поскольку у вас политика по умолчанию в цепочке
форварда "всё разрешаю", то вносятся правила
только того, что нуна запретить.
привозникновении вопроса попробуйте сначала
поиск, хотябы по этому сайту, вот результат
https://www.opennet.ru/docs/RUS/iptables/index.html

>>я только начинаю осваивать эти таблицы, а что означают последнии 3 строки
>>(форвардинг)
>>всем посибо
не совсем понял какие, если те что ниже, то в вашем случае они ни чего не дают
>>#форвардинг
>>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j
                             |           |                      |     |
                          входящий    исходящий               новые  установленная
                          интерфейс   интерфейс              пакеты   связь
>>ACCEPT
    |
применяемая политика
>>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j
>>ACCEPT
>>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "пересылка спама!!!"
Сообщение от halt (??) on 29-Янв-07, 15:54
в iptables не силен но если пользователь работает через nat то фактически каждый пользователь может отправлять почту на любой сервер. вирусы именно это и делают :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "пересылка спама!!!"
Сообщение от mavas on 29-Янв-07, 17:00
>помогите определить где ошибка, провавйдер говорит что через меня пересылается спам!!! >почтовый сервер на серваке не установлен, почту клиенты получают с удалённого сервера, >как прописать что бы почту могли отправлять и получать только определёные >IP > >это мой файл маскарад >#!/bin/bash > >IPTABLES='/sbin/iptables' > >EXTIF='eth0' >INTIF_1='eth1' >INTIF_2='eth2' >INTIF_3='eth3' >#Форвардинг в ядре >echo 1 > /proc/sys/net/ipv4/ip_forward > >#Сброс и удаление всех цепочек >$IPTABLES -F >$IPTABLES -X >$IPTABLES -t nat -F >$IPTABLES -t nat -X > >#Маскарадинг >$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE > >#форвардинг >$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j >ACCEPT >$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j >ACCEPT >$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j >ACCEPT > >#Пускаем на SSH с наружи >$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT > > > >#$IPTABLES -A INPUT --protocol tcp --dport 1433 -j ACCEPT > >$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 20 -j ACCEPT >$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 20 -j ACCEPT >$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 21 -j ACCEPT >$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 21 -j ACCEPT > >$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 20 -j ACCEPT >$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 20 -j ACCEPT >$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 21 -j ACCEPT >$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 21 -j ACCEPT >#проброс порта сквида >$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port >3128 >$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port >3128 >$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port >3128 >$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port >3128 > >#Все остальное убиваем >$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP >$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP Вот так примерно $IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j DROP Эта цепочка убъет все пакеты идущие через твою машину с интерфейса $INTIF на $EXTIF от адреса $INT_IP на порт 25, то есть это запрещение конкретных адресов Если хочешь разрешить комуто, а остальных отрубить, то тогда тебе надо $IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j DROP тут важна последовательность, сначала разрешил, а потом запретил, правила применятся по порядку, что выше то имеет больший вес. Тут соттветственно INT_IP пройдет, а все остальное DROP 25 порт это отправка почты, если чтоб и не получали тоды надо 110 еще рубить.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "пересылка спама!!!"
	Сообщение от melnik (??) on 29-Янв-07, 17:12
	>>помогите определить где ошибка, провавйдер говорит что через меня пересылается спам!!! >>почтовый сервер на серваке не установлен, почту клиенты получают с удалённого сервера, >>как прописать что бы почту могли отправлять и получать только определёные >>IP >> >>это мой файл маскарад >>#!/bin/bash >> >>IPTABLES='/sbin/iptables' >> >>EXTIF='eth0' >>INTIF_1='eth1' >>INTIF_2='eth2' >>INTIF_3='eth3' >>#Форвардинг в ядре >>echo 1 > /proc/sys/net/ipv4/ip_forward >> >>#Сброс и удаление всех цепочек >>$IPTABLES -F >>$IPTABLES -X >>$IPTABLES -t nat -F >>$IPTABLES -t nat -X >> >>#Маскарадинг >>$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE >> >>#форвардинг >>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j >>ACCEPT >>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j >>ACCEPT >>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j >>ACCEPT >> >>#Пускаем на SSH с наружи >>$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT >> >> >> >>#$IPTABLES -A INPUT --protocol tcp --dport 1433 -j ACCEPT >> >>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 20 -j ACCEPT >>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 20 -j ACCEPT >>$IPTABLES -A INPUT -i $INTIF_2 --protocol tcp --dport 21 -j ACCEPT >>$IPTABLES -A OUTPUT -o $INTIF_2 --protocol tcp --dport 21 -j ACCEPT >> >>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 20 -j ACCEPT >>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 20 -j ACCEPT >>$IPTABLES -A INPUT -i $INTIF_3 --protocol tcp --dport 21 -j ACCEPT >>$IPTABLES -A OUTPUT -o $INTIF_3 --protocol tcp --dport 21 -j ACCEPT >>#проброс порта сквида >>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port >>3128 >>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port >>3128 >>$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port >>3128 >>$IPTABLES -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port >>3128 >> >>#Все остальное убиваем >>$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP >>$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP > >Вот так примерно > >$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport >25 -j DROP > >Эта цепочка убъет все пакеты идущие через твою машину с интерфейса $INTIF >на $EXTIF от адреса $INT_IP на порт 25, то есть это >запрещение конкретных адресов > >Если хочешь разрешить комуто, а остальных отрубить, то тогда тебе надо >$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport >25 -j ACCEPT >$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j >DROP >тут важна последовательность, сначала разрешил, а потом запретил, правила применятся по порядку, >что выше то имеет больший вес. >Тут соттветственно INT_IP пройдет, а все остальное DROP > >25 порт это отправка почты, если чтоб и не получали тоды надо >110 еще рубить. тоесть если я пропишу так $IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j DROP как я понимаю только определённый машины смогут отправлять почту а как приписать айпи кто может отправлять почту???
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "пересылка спама!!!"
	Сообщение от mavas on 29-Янв-07, 17:25
	>тоесть если я пропишу так >$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport >25 -j ACCEPT >$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j >DROP > >как я понимаю только определённый машины смогут отправлять почту >а как приписать айпи кто может отправлять почту??? в начале пишешь EXTIF="192.168.0.1/24" или если понятней EXTIF="192.168.0.1/255.255.255.0" либо можно прям в цепочке >$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport >25 -j ACCEPT
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "пересылка спама!!!"
	Сообщение от melnik (ok) on 29-Янв-07, 22:06
	>>тоесть если я пропишу так >>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport >>25 -j ACCEPT >>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j >>DROP >> >>как я понимаю только определённый машины смогут отправлять почту >>а как приписать айпи кто может отправлять почту??? > >в начале пишешь >EXTIF="192.168.0.1/24" > >или если понятней > >EXTIF="192.168.0.1/255.255.255.0" > >либо можно прям в цепочке >>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport >>25 -j ACCEPT чо то не одно из этих правил непомогает!!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "пересылка спама!!!"
	Сообщение от Oyyo on 29-Янв-07, 22:55
	сделай tcpdump -n -i ethХ dst port 25 >/cpam.txt ethX - интерфейс с локалкой оставь этот процесс на определённое время, потом анализируй с какой машины сколько уходит почты, делай выводы, принимай меры
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "пересылка спама!!!"
	Сообщение от mavas on 30-Янв-07, 06:16
	>>>тоесть если я пропишу так >>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport >>>25 -j ACCEPT >>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j >>>DROP >>> >>>как я понимаю только определённый машины смогут отправлять почту >>>а как приписать айпи кто может отправлять почту??? >> >>в начале пишешь >>EXTIF="192.168.0.1/24" >> >>или если понятней >> >>EXTIF="192.168.0.1/255.255.255.0" >> >>либо можно прям в цепочке >>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport >>>25 -j ACCEPT > > >чо то не одно из этих правил непомогает!!! А ты такие цепочки для всех своих внутренних подсетей прописал ? У тебя 3 подсети внутренние, я же тебе пример написал. Чтоб работало надо написать,ля всех INTIF_1='eth1' INTIF_2='eth2' INTIF_3='eth3' Потом к примеру надо пускать #С первой подсети INT_1_IP_1="192.168.0.10" INT_1_IP_2="192.168.0.11" #Со второй INT_2_IP_1="192.168.1.30" #С третьй INT_3_IP_1="192.168.2.50" #А потом для каждого # Для первой подсети 2 адреса разрешили $IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport 25 -j ACCEPT #Остальное для первой убили $IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j DROP # Для второй $IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j DROP #Для третьей $IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j DROP Вот так должно заработать Вообще есть чудо статья по iptables https://www.opennet.ru/docs/RUS/iptables/
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "пересылка спама!!!"
	Сообщение от melnik (ok) on 30-Янв-07, 13:52
	>>>>тоесть если я пропишу так >>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s $INT_IP --dport >>>>25 -j ACCEPT >>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF --dport 25 -j >>>>DROP >>>> >>>>как я понимаю только определённый машины смогут отправлять почту >>>>а как приписать айпи кто может отправлять почту??? >>> >>>в начале пишешь >>>EXTIF="192.168.0.1/24" >>> >>>или если понятней >>> >>>EXTIF="192.168.0.1/255.255.255.0" >>> >>>либо можно прям в цепочке >>>>$IPTABLES -A FORWARD -p TCP -i $INTIF -o $EXTIF -s 192.168.0.1/24 --dport >>>>25 -j ACCEPT >> >> >>чо то не одно из этих правил непомогает!!! > >А ты такие цепочки для всех своих внутренних подсетей прописал ? >У тебя 3 подсети внутренние, я же тебе пример написал. >Чтоб работало надо написать,ля всех >INTIF_1='eth1' >INTIF_2='eth2' >INTIF_3='eth3' > >Потом к примеру надо пускать >#С первой подсети >INT_1_IP_1="192.168.0.10" >INT_1_IP_2="192.168.0.11" > >#Со второй >INT_2_IP_1="192.168.1.30" > >#С третьй > >INT_3_IP_1="192.168.2.50" > >#А потом для каждого ># Для первой подсети 2 адреса разрешили > >$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport >25 -j ACCEPT >$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport >25 -j ACCEPT > >#Остальное для первой убили >$IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j >DROP > ># Для второй >$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport >25 -j ACCEPT >$IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j >DROP > >#Для третьей >$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport >25 -j ACCEPT >$IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j >DROP > >Вот так должно заработать >Вообще есть чудо статья по iptables https://www.opennet.ru/docs/RUS/iptables/ прописал всё как ты написал, почта всеровно уходит!!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "пересылка спама!!!"
	Сообщение от mavas on 30-Янв-07, 17:15
	>прописал всё как ты написал, почта всеровно уходит!!! Сделай iptables -L -v -n и на всяк случай iptables -L -v -n -t nat выложи что получилось, посмотрим.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "пересылка спама!!!"
	Сообщение от melnik (ok) on 30-Янв-07, 18:09
	> >>прописал всё как ты написал, почта всеровно уходит!!! > >Сделай >iptables -L -v -n >и на всяк случай iptables -L -v -n -t nat > >выложи что получилось, посмотрим. [root@]# iptables -L -v -n Chain INPUT (policy ACCEPT 135K packets, 30M bytes) pkts bytes target prot opt in out source destination 466 37652 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 0 0 ACCEPT tcp -- eth3 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 0 0 ACCEPT tcp -- eth3 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 0 0 DROP all -- eth0 * 62.141.50.175 0.0.0.0/0 0 0 DROP all -- eth0 * 66.103.134.9 0.0.0.0/0 0 0 DROP all -- eth0 * 82.195.132.245 0.0.0.0/0 0 0 DROP all -- eth0 * 82.159.86.238 0.0.0.0/0 0 0 DROP all -- eth0 * 218.228.80.254 0.0.0.0/0 0 0 DROP all -- eth0 * 61.211.237.180 0.0.0.0/0 0 0 DROP all -- eth0 * 63.204.205.245 0.0.0.0/0 0 0 DROP all -- eth0 * 66.201.244.225 0.0.0.0/0 0 0 DROP all -- eth0 * 67.69.105.30 0.0.0.0/0 0 0 DROP all -- eth0 * 61.211.237.180 0.0.0.0/0 0 0 DROP all -- eth0 * 203.144.229.199 0.0.0.0/0 0 0 DROP all -- eth0 * 59.42.83.204 0.0.0.0/0 0 0 DROP all -- eth0 * 61.129.117.112 0.0.0.0/0 0 0 DROP all -- eth0 * 220.119.33.251 0.0.0.0/0 0 0 DROP all -- eth0 * 61.95.194.109 0.0.0.0/0 0 0 DROP all -- eth0 * 222.112.249.123 0.0.0.0/0 0 0 DROP all -- eth0 * 80.100.232.9 0.0.0.0/0 0 0 DROP all -- eth0 * 202.39.97.140 0.0.0.0/0 0 0 DROP all -- eth0 * 83.246.118.252 0.0.0.0/0 0 0 DROP all -- eth0 * 66.236.238.4 0.0.0.0/0 0 0 DROP all -- eth0 * 211.176.61.119 0.0.0.0/0 0 0 DROP all -- eth0 * 202.177.184.40 0.0.0.0/0 0 0 DROP all -- eth0 * 202.63.192.13 0.0.0.0/0 0 0 DROP all -- eth0 * 83.246.118.252 0.0.0.0/0 0 0 DROP all -- eth0 * 194.126.99.220 0.0.0.0/0 0 0 DROP all -- eth0 * 210.244.225.13 0.0.0.0/0 0 0 DROP all -- eth0 * 66.236.238.4 0.0.0.0/0 0 0 DROP all -- eth0 * 64.58.144.44 0.0.0.0/0 0 0 DROP all -- eth0 * 210.114.174.177 0.0.0.0/0 0 0 DROP all -- eth0 * 65.19.155.219 0.0.0.0/0 0 0 DROP all -- eth0 * 195.114.174.177 0.0.0.0/0 0 0 DROP all -- eth0 * 211.238.253.248 0.0.0.0/0 0 0 DROP all -- eth0 * 84.37.11.11 0.0.0.0/0 0 0 DROP all -- eth0 * 200.215.61.6 0.0.0.0/0 0 0 DROP all -- eth0 * 59.36.96.101 0.0.0.0/0 0 0 DROP all -- eth0 * 210.123.71.5 0.0.0.0/0 0 0 DROP all -- eth0 * 60.28.9.143 0.0.0.0/0 0 0 DROP all -- eth0 * 212.113.123.130 0.0.0.0/0 0 0 DROP all -- eth0 * 210.6.101.220 0.0.0.0/0 0 0 DROP all -- eth0 * 207.203.211.140 0.0.0.0/0 0 0 DROP all -- eth0 * 222.82.253.178 0.0.0.0/0 0 0 DROP all -- eth0 * 66.14.62.125 0.0.0.0/0 0 0 DROP all -- eth0 * 203.207.224.67 0.0.0.0/0 0 0 DROP all -- eth0 * 83.167.5.158 0.0.0.0/0 0 0 DROP all -- eth0 * 209.164.117.32 0.0.0.0/0 0 0 DROP all -- eth0 * 202.131.114.112 0.0.0.0/0 0 0 DROP all -- eth0 * 83.206.167.193 0.0.0.0/0 0 0 DROP all -- eth0 * 202.232.130.80 0.0.0.0/0 0 0 DROP all -- eth0 * 66.44.210.252 0.0.0.0/0 0 0 DROP all -- eth0 * 221.154.250.38 0.0.0.0/0 0 0 DROP all -- eth0 * 210.21.234.11 0.0.0.0/0 0 0 DROP all -- eth0 * 84.19.186.36 0.0.0.0/0 0 0 DROP all -- eth0 * 218.1.65.233 0.0.0.0/0 0 0 DROP all -- eth0 * 67.138.80.15 0.0.0.0/0 0 0 DROP all -- eth0 * 213.168.177.20 0.0.0.0/0 0 0 DROP all -- eth0 * 201.6.101.230 0.0.0.0/0 0 0 DROP all -- eth0 * 60.28.9.243 0.0.0.0/0 0 0 DROP all -- eth0 * 212.133.123.130 0.0.0.0/0 0 0 DROP all -- eth0 * 201.113.123.130 0.0.0.0/0 0 0 DROP all -- eth0 * 204.155.67.192 0.0.0.0/0 0 0 DROP all -- eth0 * 200.203.162.185 0.0.0.0/0 0 0 DROP all -- eth0 * 222.185.245.208 0.0.0.0/0 0 0 DROP all -- eth0 * 211.224.60.21 0.0.0.0/0 0 0 DROP all -- eth0 * 218.22.8.59 0.0.0.0/0 0 0 DROP all -- eth0 * 202.108.40.59 0.0.0.0/0 0 0 DROP all -- eth0 * 213.169.137.62 0.0.0.0/0 0 0 DROP all -- eth0 * 58.94.4.28 0.0.0.0/0 0 0 DROP all -- eth0 * 4.18.44.59 0.0.0.0/0 0 0 DROP all -- eth0 * 200.96.178.100 0.0.0.0/0 0 0 DROP all -- eth0 * 218.62.27.125 0.0.0.0/0 0 0 DROP all -- eth0 * 61.220.36.148 0.0.0.0/0 0 0 DROP all -- eth0 * 195.136.49.178 0.0.0.0/0 0 0 DROP all -- eth0 * 211.231.62.131 0.0.0.0/0 0 0 DROP all -- eth0 * 213.202.214.51 0.0.0.0/0 0 0 DROP all -- eth0 * 64.182.37.226 0.0.0.0/0 0 0 DROP all -- eth0 * 88.214.86.118 0.0.0.0/0 0 0 DROP all -- eth0 * 69.90.30.227 0.0.0.0/0 0 0 DROP all -- eth0 * 82.165.175.220 0.0.0.0/0 0 0 DROP all -- eth0 * 82.207.62.50 0.0.0.0/0 0 0 DROP all -- eth0 * 222.45.29.200 0.0.0.0/0 0 0 DROP all -- eth0 * 202.155.214.169 0.0.0.0/0 0 0 DROP all -- eth0 * 61.107.94.199 0.0.0.0/0 0 0 DROP all -- eth0 * 60.190.78.94 0.0.0.0/0 0 0 DROP all -- eth0 * 59.77.6.195 0.0.0.0/0 0 0 DROP all -- eth0 * 125.95.18.34 0.0.0.0/0 0 0 DROP all -- eth0 * 193.41.88.2 0.0.0.0/0 0 0 DROP all -- eth0 * 212.40.43.122 0.0.0.0/0 0 0 DROP all -- eth0 * 203.155.165.85 0.0.0.0/0 0 0 DROP all -- eth0 * 80.97.64.181 0.0.0.0/0 0 0 DROP all -- eth0 * 202.127.0.66 0.0.0.0/0 0 0 DROP all -- eth0 * 212.251.120.94 0.0.0.0/0 0 0 DROP all -- eth0 * 60.48.26.206 0.0.0.0/0 0 0 DROP all -- eth0 * 206.137.17.223 0.0.0.0/0 0 0 DROP all -- eth0 * 81.19.44.2 0.0.0.0/0 0 0 DROP all -- eth0 * 80.97.64.181 0.0.0.0/0 0 0 DROP all -- eth0 * 61.34.255.81 0.0.0.0/0 0 0 DROP all -- eth0 * 60.48.26.206 0.0.0.0/0 0 0 DROP all -- eth0 * 202.69.217.114 0.0.0.0/0 0 0 DROP all -- eth0 * 69.72.217.234 0.0.0.0/0 0 0 DROP all -- eth0 * 216.152.252.155 0.0.0.0/0 0 0 DROP all -- eth0 * 212.50.9.253 0.0.0.0/0 0 0 DROP all -- eth0 * 211.23.174.171 0.0.0.0/0 0 0 DROP all -- eth0 * 124.2.175.15 0.0.0.0/0 0 0 DROP all -- eth0 * 83.19.44.26 0.0.0.0/0 0 0 DROP all -- eth0 * 62.117.126.220 0.0.0.0/0 0 0 DROP all -- eth0 * 218.249.36.56 0.0.0.0/0 0 0 DROP all -- eth0 * 211.170.242.10 0.0.0.0/0 0 0 DROP all -- eth0 * 218.7.13.215 0.0.0.0/0 0 0 DROP all -- eth0 * 212.50.9.253 0.0.0.0/0 0 0 DROP all -- eth0 * 211.23.174.171 0.0.0.0/0 0 0 DROP all -- eth0 * 222.234.2.86 0.0.0.0/0 0 0 DROP all -- eth0 * 59.41.39.115 0.0.0.0/0 0 0 DROP all -- eth0 * 218.25.62.92 0.0.0.0/0 0 0 DROP all -- eth0 * 213.52.227.121 0.0.0.0/0 0 0 DROP all -- eth0 * 203.158.228.2 0.0.0.0/0 0 0 DROP all -- eth0 * 151.164.60.251 0.0.0.0/0 0 0 DROP all -- eth0 * 222.216.27.40 0.0.0.0/0 0 0 DROP all -- eth0 * 125.241.141.131 0.0.0.0/0 0 0 DROP all -- eth0 * 87.244.192.153 0.0.0.0/0 0 0 DROP all -- eth0 * 61.78.244.88 0.0.0.0/0 0 0 DROP all -- eth0 * 218.12.46.18 0.0.0.0/0 0 0 DROP all -- eth0 * 64.18.194.226 0.0.0.0/0 0 0 DROP all -- eth0 * 193.41.88.2 0.0.0.0/0 2 814 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW Chain FORWARD (policy ACCEPT 44369 packets, 11M bytes) pkts bytes target prot opt in out source destination 189 10265 ACCEPT all -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED 0 0 ACCEPT all -- eth2 eth0 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED 8 427 ACCEPT all -- eth3 eth0 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED 0 0 ACCEPT tcp -- eth1 eth0 192.168.0.2 0.0.0.0/0 tcp dpt:25 0 0 ACCEPT tcp -- eth1 eth0 192.168.0.11 0.0.0.0/0 tcp dpt:25 0 0 DROP tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 0 0 ACCEPT tcp -- eth2 eth0 192.168.4.2 0.0.0.0/0 tcp dpt:25 0 0 DROP tcp -- eth2 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 0 0 ACCEPT tcp -- eth3 eth0 192.168.10.222 0.0.0.0/0 tcp dpt:25 0 0 DROP tcp -- eth3 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 0 0 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW Chain OUTPUT (policy ACCEPT 68104 packets, 29M bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * eth1 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 0 0 ACCEPT tcp -- * eth1 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 0 0 ACCEPT tcp -- * eth2 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 0 0 ACCEPT tcp -- * eth2 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 0 0 ACCEPT tcp -- * eth3 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 0 0 ACCEPT tcp -- * eth3 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 iptables -L -v -n -t nat Chain PREROUTING (policy ACCEPT 4774 packets, 421K bytes) pkts bytes target prot opt in out source destination 25 1200 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128 0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 redir ports 3128 0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 redir ports 3128 0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8081 redir ports 3128 Chain POSTROUTING (policy ACCEPT 24 packets, 1369 bytes) pkts bytes target prot opt in out source destination 34 1963 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 2396 packets, 144K bytes) pkts bytes target prot opt in out source destination
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "пересылка спама!!!"
	Сообщение от Oyyo on 30-Янв-07, 18:24
	обрати внимание, в цепочке форвард сначало всё разрешено (зачем это делать если политика по умолчанию ACCEPT) 189 10265 ACCEPT all -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED а потом пытаешься дропать 0 0 DROP tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 поменяй правила местами, а лучше удали всё, что ACCEPT
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "пересылка спама!!!"
	Сообщение от melnik (ok) on 30-Янв-07, 18:46
	> >обрати внимание, в цепочке форвард сначало всё разрешено >(зачем это делать если политика по умолчанию ACCEPT) >189 10265 ACCEPT all -- eth1 > eth0 0.0.0.0/0 > 0.0.0.0/0 > state NEW,ESTABLISHED > >а потом пытаешься дропать > 0 0 DROP > tcp -- eth1 eth0 > 0.0.0.0/0 > 0.0.0.0/0 > tcp dpt:25 > >поменяй правила местами, а лучше удали всё, что ACCEPT ура работает, всем посибо я сделал как ты подсказал. поменял местами ###################################################################################### $IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_1 --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF -s $INT_1_IP_2 --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p TCP -i $INTIF_1 -o $EXTIF --dport 25 -j DROP $IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF -s $INT_2_IP_1 --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p TCP -i $INTIF_2 -o $EXTIF --dport 25 -j DROP $IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF -s $INT_3_IP_1 --dport 25 -j ACCEPT $IPTABLES -A FORWARD -p TCP -i $INTIF_3 -o $EXTIF --dport 25 -j DROP ###################################################################################### #форвардинг $IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT я только начинаю осваивать эти таблицы, а что означают последнии 3 строки (форвардинг) всем посибо
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "пересылка спама!!!"
	Сообщение от Oyyo on 30-Янв-07, 19:00
	>я только начинаю осваивать эти таблицы, а что означают последнии 3 строки >(форвардинг) >всем посибо >#форвардинг >$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j >ACCEPT >$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j >ACCEPT >$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j >ACCEPT >
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "пересылка спама!!!"
	Сообщение от melnik (ok) on 30-Янв-07, 19:03
	> >>я только начинаю осваивать эти таблицы, а что означают последнии 3 строки >>(форвардинг) >>всем посибо > > >>#форвардинг >>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j >>ACCEPT >>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j >>ACCEPT >>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j >>ACCEPT >> ага что это значит?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "пересылка спама!!!"
	Сообщение от Oyyo on 30-Янв-07, 19:15
	Упсс!!! блин клавиша интер в ненужный момент поскольку у вас политика по умолчанию в цепочке форварда "всё разрешаю", то вносятся правила только того, что нуна запретить. привозникновении вопроса попробуйте сначала поиск, хотябы по этому сайту, вот результат https://www.opennet.ru/docs/RUS/iptables/index.html >>я только начинаю осваивать эти таблицы, а что означают последнии 3 строки >>(форвардинг) >>всем посибо не совсем понял какие, если те что ниже, то в вашем случае они ни чего не дают >>#форвардинг >>$IPTABLES -A FORWARD -i $INTIF_1 -o $EXTIF -m state --state NEW,ESTABLISHED -j \| \| \| \| входящий исходящий новые установленная интерфейс интерфейс пакеты связь >>ACCEPT \| применяемая политика >>$IPTABLES -A FORWARD -i $INTIF_2 -o $EXTIF -m state --state NEW,ESTABLISHED -j >>ACCEPT >>$IPTABLES -A FORWARD -i $INTIF_3 -o $EXTIF -m state --state NEW,ESTABLISHED -j >>ACCEPT >>
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]