Lipetsk *nix Association Forum Lipetsk *nix Association Forum
Новости:
 
*
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?
22 Ноября 2024, 08:01:10


Войти


Страниц: 1 [2]   Вниз
  Печать  
Автор Тема: Глупый вопрос по iptables  (Прочитано 33955 раз)
0 Пользователей и 2 Гостей смотрят эту тему.
desperate
Не говорите, как мне жить, а я не скажу, куда вам идти :)
Администратор
*****

Карма: 65535
Сообщений: 1254


OpenSuse 11.4 - XFCE

ОС:
Windows XP Windows XP
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #15 : 22 Апреля 2009, 19:21:43 »

ну как то придется авторизировать пользователей для раздачи интернета? (хотя я сам это предпологаю)
скуид не позволяет сделать прозрачку, но позволяет создать авторизацию.

сквида вполне себе в транспарент режиме работает, а для офисного планктона вполне сгодится IP+MAC авторизация
Записан


Мой персональный блог "Шутки ради"
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #16 : 22 Апреля 2009, 23:59:41 »

2NeO
Цитировать
iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE
Не помогла сия конструкция Грустный Пишет, что
Код:
iptables: Invalid argument
Кто-нибудь понимает, что здесь неправильно? В конце концов сказал я iptables'у, что
Код:
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $ext -j MASQUERADE
Грустный , ибо если завтра почта не заработает, ночальнег мну порвет как газету (для начала), а потом уволит нахЪ.

Добавлено: 23 Апреля 2009, 00:06:12
сквида вполне себе в транспарент режиме работает
А все же интересно, как замутить почту именно средствами iptables. И почему он ругается на правила, которые NeO посоветовал?
Оно, конечно, понятно, что man iptables мну в помощь, Улыбка (чем на досуге и займусь), но если кто-то знает, в чем проблема - скажите плз.

Добавлено: 23 Апреля 2009, 00:18:05
Во, на ночь глядя пришла в голову дурная мысль (заработался я сегодня, по-ходу Улыбка): поставить на сервер 3proxy (он соппсна, уже стоит) и squid. В squid'е настроить кэширование, авторизацию по IP и порезать нахЪ соц. сети/порнуху/музыку и т. п. А в 3 proxy настроить авторизцию по логину-паролю, в качестве parrent-сервера прописать squid и замутить портмаппинг на соответствующие порты (25, 110, 143). Бред, ИМХО, (говорю же, заработался), но вдруг прокатит? Или squid не пустит?
« Последнее редактирование: 23 Апреля 2009, 00:18:05 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #17 : 23 Апреля 2009, 02:13:59 »

MASQUERADE можно использовать только в POSTROUTING, а я в PREROUTING сказал запихивать. Извиняюсь, попутался.
Записан
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #18 : 23 Апреля 2009, 02:21:04 »

О как... Сейчас на домашней машине попробую, благо, система одна и та же стоит (только на домашней, естессно, с иксами и прочим). Если iptables не ругнется - завтра (т. е. сегодня уже) буду пробовать на сервере.

Добавлено: 23 Апреля 2009, 02:22:41
MASQUERADE можно использовать только в POSTROUTING, а я в PREROUTING сказал запихивать. Извиняюсь, попутался.

Стоп, стоп, стоп, стоп ... Так что, POSTROUTING ему написать, или как? И с этим почта будет приниматься-отправляться?
« Последнее редактирование: 23 Апреля 2009, 02:24:23 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #19 : 23 Апреля 2009, 04:06:20 »

О как... Сейчас на домашней машине попробую, благо, система одна и та же стоит (только на домашней, естессно, с иксами и прочим). Если iptables не ругнется - завтра (т. е. сегодня уже) буду пробовать на сервере.

Добавлено: 23 Апреля 2009, 02:22:41
Стоп, стоп, стоп, стоп ... Так что, POSTROUTING ему написать, или как? И с этим почта будет приниматься-отправляться?
Вместо
Код:
iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE
нужно добавить
Код:
iptables -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE
Записан
all
Небритый одмин
*****

Карма: 2
Сообщений: 730


Windows Vista Power Pack 2008)))

ОС:
Windows XP Windows XP
Браузер:
Firefox 3.0.7 Firefox 3.0.7


Награды
« Ответ #20 : 23 Апреля 2009, 12:36:48 »

почту я так делал Postfix(к нему Мускл)+Dovecot(потому как сервер как обычно работал на Г**не), а вообще opennet там таких статей просто в немеренном количестве лежит)
Записан

all-all-blog.blogspot.com - мысли о пингвинах, паяльниках и др. интересной хрени.
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #21 : 23 Апреля 2009, 13:56:31 »

почту я так делал Postfix(к нему Мускл)+Dovecot(потому как сервер как обычно работал на Г**не), а вообще opennet там таких статей просто в немеренном количестве лежит)

Вот, соппсна, обчитавшись opennet и захотел на постфиксе поднять. Еще есть ресурс хороший, тот, который http://www.lissyara.su Где-то на FTPшнике здесь видел... Оффтоп, кстати Улыбка А почту делал на какой системе (фря, linux, или еще что-то)? Ой, опять оффтоп Улыбка  Может, новую тему завести, про почту?
« Последнее редактирование: 23 Апреля 2009, 13:58:51 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
all
Небритый одмин
*****

Карма: 2
Сообщений: 730


Windows Vista Power Pack 2008)))

ОС:
Windows XP Windows XP
Браузер:
Firefox 3.0.7 Firefox 3.0.7


Награды
« Ответ #22 : 23 Апреля 2009, 14:08:56 »

почта на linux ubuntu server.
тока я бы ставил ее только в случае если своя MX запись есть, а если лить все с какого нить сервера, то больше гемора чем выхлопа.
Записан

all-all-blog.blogspot.com - мысли о пингвинах, паяльниках и др. интересной хрени.
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #23 : 23 Апреля 2009, 21:06:07 »

Завязываем с почтовыми серверами в этом топике. Как там дела с iptables?
Записан
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #24 : 23 Апреля 2009, 22:12:22 »

Как там дела с iptables?
Пока не удосужился потестить на рабочей системе (сегодня других дел много было, а для работы почты общего доступа через iptables хватает. Благо, пользователи об общем доступе не догадываются Смеющийся) Но на POSTROUTING  не ругается, смею надеяться, что это будет работать. Завтра попробую на пятом дебиане, т. к. на альте (на нем делал тестовый сервер) одна из сетевух (не помню какая, я таких названий даже не видел раньше) не определилась.

Добавлено: 23 Апреля 2009, 22:34:38
не помню какая, я таких названий даже не видел раньше)

Не-е, вспомнил, видел, в конфигах фряшного, а может и linuxового ядра... Semiconductor-что-то там...
« Последнее редактирование: 23 Апреля 2009, 22:36:30 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #25 : 23 Апреля 2009, 22:51:55 »

Не-е, вспомнил, видел, в конфигах фряшного, а может и линуксового ядра... Semiconductor-что-то там...
/telepat_mode on
Realtek Semiconductor RT8139
/telepat_mode off
;-)
Записан
RemDerBauer
Rebuild world
Глобальный модератор
*****

Карма: 14
Сообщений: 1886


Ubuntu forever

ОС:
Linux (Ubuntu) Linux (Ubuntu)
Браузер:
Firefox 3.0.9 Firefox 3.0.9


Награды
« Ответ #26 : 23 Апреля 2009, 23:26:50 »

оффтоп: НеО О_О собрал-таки либастрал....уважаю)) эндоффтоп
Записан

Мы говорим Linux, подразумеваем Ubuntu......
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #27 : 24 Апреля 2009, 07:28:37 »

/telepat_mode on
Realtek Semiconductor RT8139
/telepat_mode off
;-)
этаплюспицот испацтала Смеющийся На самом деле, как-то по другому называется и realtek там не упоминается. Это она так на дебиане определилась, в винде называлась по-другому.

Добавлено: 24 Апреля 2009, 13:06:35
Закрыл доступ в iptables, написал в конфиг
Код:
$cmd -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 143 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 995 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 993 -j MASQUERADE
Почта приходит-отправляется, но, почему-то криво, например, если почта на user@yandex.ru - все ok, а если на user@lipetsk.ru - не получается забрать входящую, её просто нет, хотя, если зайти через браузер - почта есть. Это косяк iptables или еще что? Похожая ситуация с mail.ru, получить почту удалось только после того, как добавил правило:
Код:
$cmd -t nat -A POSTROUTING -s 192.168.1.0/24 -o $ext -j MASQUERADE
А использовать это правило очень не хочется...

Добавлено: 25 Апреля 2009, 08:06:33
А не могут ли проблемы с почтой быть вызваны не настройками iptables, а настройками момеда (зухель престиж 660)? Просто смущает то, что выдает nmap -sS -O <адрес>:
Код:
PORT     STATE    SERVICE
21/tcp   open     ftp
23/tcp   open     telnet
80/tcp   open     http
1720/tcp filtered H.323/Q.931
8080/tcp open     http-proxy
Device type: broadband router
Running: Netopia embedded
OS details: Netopia DSL Router, Netopia DSL router
Вроде как, прием-отправка почты не требует ковыряний в настройках момеда, но хз, ибо с зухелями до этого сталкивался только один раз...
« Последнее редактирование: 25 Апреля 2009, 08:06:33 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
Страниц: 1 [2]   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2011, Simple Machines

Valid XHTML 1.0! Valid CSS! Dilber MC Theme by HarzeM