Глупый вопрос по iptables

[desperate]

ну как то придется авторизировать пользователей для раздачи интернета? (хотя я сам это предпологаю)
скуид не позволяет сделать прозрачку, но позволяет создать авторизацию.

сквида вполне себе в транспарент режиме работает, а для офисного планктона вполне сгодится IP+MAC авторизация

[black0f]

2NeO

iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE

Не помогла сия конструкция Пишет, что

Код:

iptables: Invalid argument

Кто-нибудь понимает, что здесь неправильно? В конце концов сказал я iptables'у, что

Код:

/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $ext -j MASQUERADE

, ибо если завтра почта не заработает, ночальнег мну порвет как газету (для начала), а потом уволит нахЪ.
Добавлено: 23 Апреля 2009, 00:06:12

сквида вполне себе в транспарент режиме работает

А все же интересно, как замутить почту именно средствами iptables. И почему он ругается на правила, которые NeO посоветовал?
Оно, конечно, понятно, что man iptables мну в помощь, (чем на досуге и займусь), но если кто-то знает, в чем проблема - скажите плз.
Добавлено: 23 Апреля 2009, 00:18:05Во, на ночь глядя пришла в голову дурная мысль (заработался я сегодня, по-ходу ): поставить на сервер 3proxy (он соппсна, уже стоит) и squid. В squid'е настроить кэширование, авторизацию по IP и порезать нахЪ соц. сети/порнуху/музыку и т. п. А в 3 proxy настроить авторизцию по логину-паролю, в качестве parrent-сервера прописать squid и замутить портмаппинг на соответствующие порты (25, 110, 143). Бред, ИМХО, (говорю же, заработался), но вдруг прокатит? Или squid не пустит?

[NeO]

MASQUERADE можно использовать только в POSTROUTING, а я в PREROUTING сказал запихивать. Извиняюсь, попутался.

[black0f]

О как... Сейчас на домашней машине попробую, благо, система одна и та же стоит (только на домашней, естессно, с иксами и прочим). Если iptables не ругнется - завтра (т. е. сегодня уже) буду пробовать на сервере.
Добавлено: 23 Апреля 2009, 02:22:41

MASQUERADE можно использовать только в POSTROUTING, а я в PREROUTING сказал запихивать. Извиняюсь, попутался.

Стоп, стоп, стоп, стоп ... Так что, POSTROUTING ему написать, или как? И с этим почта будет приниматься-отправляться?

[NeO]

О как... Сейчас на домашней машине попробую, благо, система одна и та же стоит (только на домашней, естессно, с иксами и прочим). Если iptables не ругнется - завтра (т. е. сегодня уже) буду пробовать на сервере.
Добавлено: 23 Апреля 2009, 02:22:41Стоп, стоп, стоп, стоп ... Так что, POSTROUTING ему написать, или как? И с этим почта будет приниматься-отправляться?

Вместо

Код:

iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE

нужно добавить

Код:

iptables -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE

[all]

почту я так делал Postfix(к нему Мускл)+Dovecot(потому как сервер как обычно работал на Г**не), а вообще opennet там таких статей просто в немеренном количестве лежит)

[black0f]

почту я так делал Postfix(к нему Мускл)+Dovecot(потому как сервер как обычно работал на Г**не), а вообще opennet там таких статей просто в немеренном количестве лежит)

Вот, соппсна, обчитавшись opennet и захотел на постфиксе поднять. Еще есть ресурс хороший, тот, который http://www.lissyara.su Где-то на FTPшнике здесь видел... Оффтоп, кстати А почту делал на какой системе (фря, linux, или еще что-то)? Ой, опять оффтоп   Может, новую тему завести, про почту?

[all]

почта на linux ubuntu server.
тока я бы ставил ее только в случае если своя MX запись есть, а если лить все с какого нить сервера, то больше гемора чем выхлопа.

[NeO]

Завязываем с почтовыми серверами в этом топике. Как там дела с iptables?

[black0f]

Как там дела с iptables?

Пока не удосужился потестить на рабочей системе (сегодня других дел много было, а для работы почты общего доступа через iptables хватает. Благо, пользователи об общем доступе не догадываются ) Но на POSTROUTING  не ругается, смею надеяться, что это будет работать. Завтра попробую на пятом дебиане, т. к. на альте (на нем делал тестовый сервер) одна из сетевух (не помню какая, я таких названий даже не видел раньше) не определилась.
Добавлено: 23 Апреля 2009, 22:34:38

не помню какая, я таких названий даже не видел раньше)

Не-е, вспомнил, видел, в конфигах фряшного, а может и linuxового ядра... Semiconductor-что-то там...

[NeO]

Не-е, вспомнил, видел, в конфигах фряшного, а может и линуксового ядра... Semiconductor-что-то там...

/telepat_mode on
Realtek Semiconductor RT8139
/telepat_mode off
;-)

[RemDerBauer]

оффтоп: НеО О_О собрал-таки либастрал....уважаю)) эндоффтоп

[black0f]

/telepat_mode on
Realtek Semiconductor RT8139
/telepat_mode off
;-)

этаплюспицот испацтала На самом деле, как-то по другому называется и realtek там не упоминается. Это она так на дебиане определилась, в винде называлась по-другому.
Добавлено: 24 Апреля 2009, 13:06:35Закрыл доступ в iptables, написал в конфиг

Код:

$cmd -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 143 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 995 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 993 -j MASQUERADE

Почта приходит-отправляется, но, почему-то криво, например, если почта на user@yandex.ru - все ok, а если на user@lipetsk.ru - не получается забрать входящую, её просто нет, хотя, если зайти через браузер - почта есть. Это косяк iptables или еще что? Похожая ситуация с mail.ru, получить почту удалось только после того, как добавил правило:

Код:

$cmd -t nat -A POSTROUTING -s 192.168.1.0/24 -o $ext -j MASQUERADE

А использовать это правило очень не хочется...
Добавлено: 25 Апреля 2009, 08:06:33А не могут ли проблемы с почтой быть вызваны не настройками iptables, а настройками момеда (зухель престиж 660)? Просто смущает то, что выдает nmap -sS -O <адрес>:

Код:

PORT     STATE    SERVICE
21/tcp   open     ftp
23/tcp   open     telnet
80/tcp   open     http
1720/tcp filtered H.323/Q.931
8080/tcp open     http-proxy
Device type: broadband router
Running: Netopia embedded
OS details: Netopia DSL Router, Netopia DSL router

Вроде как, прием-отправка почты не требует ковыряний в настройках момеда, но хз, ибо с зухелями до этого сталкивался только один раз...