Глупый вопрос по iptables

[black0f]

Вопрос действительно глупый, но не надо говорить "man iptables", т. к. решить надо срочно и времени мало. Дано: две сетевухи - $INT_INTERFACE (смотрит в локалку) $EXT_INTERFACE (смотрит во внешку). Комп раздает инет через проксю. Вопрос: что нужно сказать iptables, чтобы можно было работать с почтой? Типа, завернуть трафик по 25 и 110 портам между сетевухами в обход прокси. Подскажите плз ибо с синтаксисом iptables знаком слабо Нужно быстро поднять шлюз на linuxе (старый грохнулся), а то с работы уволят нахъ

[NeO]

Разреши маршрутизацию пакетов между интерфейсами:
В /etc/sysctl.conf
net.ipv4.ip_forward=1

Перечитай sysctl.conf
sysctl -p

Добавь пару правил для трансляции адресов:
iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE

Шлюзом на клиентах должен быть прописан этот самый комп с проксей.
В настройках почтовика проксю указывать не нужно.

[black0f]

2NeO Спасибо, сегодня по окончании рабочего дня буду пробовать. А пока что пусть бухи юзают почту через браузер Маршрутизация разрешена, работает все, кроме почты.

iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE

А разве не надо форвардинг прописывать?

[all]

хм а прокся какая прозрачная как показал Нео или через скуид?
а то как то странно получается, вариант Нео убирает необходимость в скуиде...
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE даст полный доступ ковсему инету...
правда после этого гнуно порезать кой какие портики, на всяк случай

[NeO]

Маршрутизация разрешена, работает все, кроме почты. А разве не надо форвардинг прописывать?

А что в твоем понимании есть форвардинг?

[black0f]

Прокся - на первое время 3proxy, сегодня буду ставить squid и давать доступ по IP, выборочно к определенным ресурсам. Вариант NeO подойдет?

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE даст полный доступ ковсему инету...

Дает неконтролируемый доступ Не-не-не-не... Не надо... Йа злой 0дмин
Добавлено: 22 Апреля 2009, 13:59:11

А что в твоем понимании есть форвардинг?

Как я понял, нужно что-то вроде:

Код:

$IPTABLES -A FORWARD -p tcp -s 192.168.0.1/24 --dport 110 -j ACCEPT

Или я не прав? Что же, все-таки, в конфиг писать?

[NeO]

хм а прокся какая прозрачная как показал Нео или через скуид?
а то как то странно получается, вариант Нео убирает необходимость в скуиде...
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE даст полный доступ ковсему инету...
правда после этого гнуно порезать кой какие портики, на всяк случай

Чукча не читатель? У меня вообще-то немного другие правила написаны.

Дает неконтролируемый доступ Не-не-не-не... Не надо... Йа злой 0дмин

Злой, невнимательный и неразбирающийся в сабже - жуткое сочетание.

Как я понял, нужно что-то вроде:

Код:

$IPTABLES -A FORWARD -p tcp -s 192.168.0.1/24 --dport 110 -j ACCEPT

Или я не прав? Что же, все-таки, в конфиг писать?

Для начала покажи iptables -L FORWARD
А еще лучше сразу iptables -L -v -n --line-numbers

[black0f]

и неразбирающийся в сабже

Дык, я так сразу и сказал. iptables -L -v -n --line-numbers сделать не могу, т. к. сейчас к этому компу нет доступа.
Вот фрагмент скрипта, устанавливающего правила для iptables.

Код:

int="eth2" # Внутренний интерфейс
ext="eth0" # Внешний интерфейс
intaddr="192.168.0.1"
extaddr="192.168.1.12"
localnet="192.168.0.0/24"
localports="1024:65535"
cmd="/sbin/iptables"
$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD ACCEPT
$cmd -F INPUT
$cmd -F OUTPUT
$cmd -F FORWARD 
$cmd -A INPUT -p icmp --icmp-type timestamp-request -j DROP
$cmd -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
$cmd -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$cmd -A INPUT -i lo -j ACCEPT
$cmd -t nat -A POSTROUTING -o $ext -p icmp -j MASQUERADE
$cmd -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

# Раздаем инет для внутренней сети без прокси-сервера. Не надо так делать :-D
#$cmd -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j MASQUERADE
#------- END OF CONFIG -------#

Так что ему сказать, чтобы почту принимать-отправлять можно было?
Это:

Код:

iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE

будет работать?
Добавлено: 22 Апреля 2009, 14:31:01

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Этого как раз не надо. Нужен ограниченный доступ+кэширование

[NeO]

Должно работать. Хотя, если юзается smtps/imaps, то порты нужны другие.
Форвардинг прописывать не надо, там итак все разрешено. Исходящие пакеты тоже не блокируются.

[black0f]

если юзается smtps/imaps, то порты нужны другие.

Не юзаются, а в случае чего, можно по аналогии прописать нужные порты, если я правильно понял. Так что, всем спасибо, буду играть с настройками.

[all]

никакого неконтролируемого доступа не будет, контроль идет по openvpn и открыт только его порт во внешку...
и никакого гемора с дикими правами на доступ, никаких ldap и squid...

[NeO]

никакого неконтролируемого доступа не будет, контроль идет по openvpn и открыт только его порт во внешку...
и никакого гемора с дикими правами на доступ, никаких ldap и squid...

То-ли я знаю значительно меньше об условиях поставленной задачи, то-ли ты не дописываешь свою мысль до конца :/ При чем тут VPN и LDAP?

[all]

ну как то придется авторизировать пользователей для раздачи интернета? (хотя я сам это предпологаю)
скуид не позволяет сделать прозрачку, но позволяет создать авторизацию.
iptables позволяет создать прозрачный доступ, но без LDAP или чего то наподобие не дадут возможности авторизации, по сему и был последний пост.
ЗЫ мысль я действительно выразил не закончено, пардон.   

[black0f]

Авторизация - исключительно средствами прокси. Есть домен, контроллер домена на win2k3r2, шлюз будет на linuxе. До этого шлюз был на винде (ставили до меня еще, WinGate, MDaemon). Пока все это хозяйство работало, я его не трогал, ибо сказано: работает - не трогай. Но когда перестала работать почта и доступ в инет (точнее, стало работать через раз, в лучшем случае), я посмотрел настройки - оказалось, все настроено правильно, но ничего не работает Пришел к выводу, что пора ставить юниксоподобное что-нибудь. К тому же, ночальнег начал мну напрягать по поводу лицензионного софта, а что WinGate, что MDaemon - все ломаное. Кстати, по поводу домена: я так понимаю, что не обязательно вводить linuxовую машину в домен? Если авторизация на проксе будет реализована средствами самой прокси? Какое мнение на этот счет?
Добавлено: 22 Апреля 2009, 18:15:26

никакого неконтролируемого доступа не будет, контроль идет по openvpn и открыт только его порт во внешку...
и никакого гемора с дикими правами на доступ, никаких ldap и squid...

Нет, все куда как проще, никаких впн не надо, просто раздать инет, почту, и поднять внутренний почтовый сервер (что не критично, т. к. в основном вся рабочая почта на *@lipetsk.ru, но есть зареганный домен и раньше был у нас свой почтовый сервер, пока MDaemon не отлетел). Кстати, какой почтовик посоветовали бы? Я склоняюсь к postfix (sorry за offtop)

[NeO]

Кстати, по поводу домена: я так понимаю, что не обязательно вводить линуксовую машину в домен? Если авторизация на проксе будет реализована средствами самой прокси? Какое мнение на этот счет?

Сплошной геморой без особой пользы.

Кстати, какой почтовик посоветовали бы? Я склоняюсь к postfix (sorry за offtop)

А это уже совсем другая история