black0f
Продвинутый
Карма: 0
Сообщений: 175
Debian-5.0.6
ОС:
 Linux
Браузер:
 Firefox 3.0.10
|
 |
« : 11 Мая 2009, 23:49:02 » |
|
Ситуация такая: в локальной сети для доступа в инет используется шлюз (Debian Lenny 5, iptables, Squid). На клиентских машинах стоит, в основном, Thunderbird (кое-где - TheBat!). После настройки почтового клиента он при запуске сообщает, что не может связаться с сервером (pop3, smtp, почтовые ящики на lipetsk.ru, mail.ru, yandex.ru, rambler.ru). Чтобы стало возможно получать-отправлять почту, приходится совершать следующие шаманские обряды (перечисляю по порядку): 1. Закрыть почтовый клиент. 2. На шлюзе, в конфиге iptables, прописать: $cmd -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j MASQUERADE и перезапустить iptables. 3. Запустить почтовый клиент (начинает нормально работать), закрыть. 4. На шлюзе, в конфиге iptables, закомментировать ранее добавленное правило (см. выше) и перезапустить iptables. 5. Запустить почтовый клиент. Только после этого он начинает нормально работать. Фрагмент стартового скрипта iptables: # Разрешаем pop3, imap, smtp (Это мне Ne0 подсказал, сам я в iptables чайнегЪ:))
$cmd -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 143 -j MASQUERADE
# Это правило добавляем/убираем при настройке почты.
#$cmd -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j MASQUERADE
ИМХО, вышеописанная ситуация, мягко говоря... странная. Что я сделал не так? З. Ы. Когда, первое время, юзал 3proxy вместо Squid, было тоже самое, так что, по ходу, проблема в настройке iptables. Вот скрипт: #!/bin/bash
int="eth2" # Внутренний интерфейс
ext="eth1" # Внешний интерфейс
intaddr="192.168.0.1" # Внутренний адрес
extaddr="192.168.1.12" # Внешний адрес
localnet="192.168.0.0/24" # Внутренняя сеть
localports="1024:65535" # Порты, которые считаются локальными
cmd="/sbin/iptables" # Команда запуска
$cmd --flush
$cmd --delete-chain
$cmd --table nat --flush
$cmd --table filter --flush
$cmd --table nat --delete-chain
$cmd --table filter --delete-chain
$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD ACCEPT
$cmd -F INPUT
$cmd -F OUTPUT
$cmd -F FORWARD
modprobe -a iptable_nat
modprobe -a iptable_filter
modprobe -a iptable_mangle
modprobe -a ip_tables
modprobe -a ip_vs_ftp
modprobe -a ip_queue
modprobe -a ipt_MASQUERADE
modprobe -a ipt_REDIRECT
modprobe -a ipt_REJECT
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 32000000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
$cmd -A INPUT -p icmp --icmp-type timestamp-request -j DROP
$cmd -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
$cmd -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$cmd -A INPUT -i lo -j ACCEPT
$cmd -t nat -A POSTROUTING -o $ext -p icmp -j MASQUERADE
$cmd -t nat -A PREROUTING -d $extaddr -s $localnet -j DNAT --to-destination $intaddr
$cmd -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$cmd -t filter -A INPUT -p tcp -m tcp --dport 50000:50500 -m state --state NEW -j ACCEPT
$cmd -t filter -A INPUT -p udp -m udp --dport 50000:50500 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 143 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
$cmd -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 143 -j MASQUERADE
#$cmd -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j MASQUERADE
|
|
|
|
« Последнее редактирование: 24 Мая 2009, 08:17:32 от NeO »
|
Записан
|
"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
|
|
|
NeO
Злобный админчик
Администратор
Карма: 62
Сообщений: 2376
Debian Stretch
ОС:
Linux
Браузер:
Firefox 3.5b4
|
Покажи lsmod до шаманства и после.
|
|
|
|
|
Записан
|
|
|
|
black0f
Продвинутый
Карма: 0
Сообщений: 175
Debian-5.0.6
ОС:
Linux
Браузер:
Firefox 3.0.10
|
Покажи lsmod до шаманства и после.
А что именно интересует? lsmod до шаманства Module Size Used by
udf 68772 0
crc_itu_t 2944 1 udf
nls_cp437 6400 0
vfat 10240 0
fat 43808 1 vfat
sg 23092 0
usb_storage 55684 0
xt_state 2816 23
xt_tcpudp 3712 32
ipt_REJECT 3584 0
ipt_REDIRECT 2560 0
ipt_MASQUERADE 3456 4
ip_queue 7440 0
ip_vs_ftp 4484 0
ip_vs 73248 2 ip_vs_ftp
iptable_mangle 3456 0
iptable_nat 5764 1
nf_nat 17172 3 ipt_REDIRECT,ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4 12684 26 iptable_nat,nf_nat
nf_conntrack 58440 5 xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
nf_defrag_ipv4 2816 1 nf_conntrack_ipv4
iptable_filter 3456 1
ip_tables 11024 3 iptable_mangle,iptable_nat,iptable_filter
x_tables 14468 7 xt_state,xt_tcpudp,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,iptable_nat,ip_tables
radeon 127264 3
drm 76840 4 radeon
rng_core 4868 0
vboxdrv 53144 0
nls_utf8 2560 1
isofs 28964 1
nls_base 7684 6 udf,nls_cp437,vfat,fat,nls_utf8,isofs
zlib_inflate 16000 1 isofs
loop 13324 2
8139cp 18432 0
8139too 22528 0
via_rhine 19976 0
mii 5760 3 8139cp,8139too,via_rhine
snd_intel8x0 27548 1
snd_ac97_codec 91684 1 snd_intel8x0
ac97_bus 2560 1 snd_ac97_codec
snd_pcm 64516 2 snd_intel8x0,snd_ac97_codec
thermal 16284 0
snd_timer 18824 1 snd_pcm
processor 41132 1 thermal
serio_raw 5636 0
snd 46756 6 snd_intel8x0,snd_ac97_codec,snd_pcm,snd_timer
parport_pc 24100 0
thermal_sys 10408 2 thermal,processor
button 6928 0
intel_agp 24380 1
psmouse 38032 0
i2c_i801 9232 0
parport 31980 1 parport_pc
ehci_hcd 30476 0
ide_cd_mod 32520 0
agpgart 31560 2 drm,intel_agp
soundcore 7392 1 snd
uhci_hcd 20112 0
i2c_core 21908 1 i2c_i801
snd_page_alloc 8968 2 snd_intel8x0,snd_pcm
evdev 9248 3
usbcore 124432 4 usb_storage,ehci_hcd,uhci_hcd
cdrom 30880 1 ide_cd_mod
floppy 48388 0
pcspkr 3200 0
ata_piix 21636 0
ata_generic 5508 0
libata 147680 2 ata_piix,ata_generic
sd_mod 22168 0
scsi_mod 98836 4 sg,usb_storage,libata,sd_mod
ide_generic 3332 0 [permanent]
ide_pci_generic 4612 0
ide_gd_mod 14212 7
piix 6920 4
ide_core 93256 5 ide_cd_mod,ide_generic,ide_pci_generic,ide_gd_mod,piix
Во время шаманства (открыл доступ) Module Size Used by
udf 68772 0
crc_itu_t 2944 1 udf
nls_cp437 6400 0
vfat 10240 0
fat 43808 1 vfat
sg 23092 0
usb_storage 55684 0
xt_state 2816 23
xt_tcpudp 3712 32
ipt_REJECT 3584 0
ipt_REDIRECT 2560 0
ipt_MASQUERADE 3456 5
ip_queue 7440 0
ip_vs_ftp 4484 0
ip_vs 73248 2 ip_vs_ftp
iptable_mangle 3456 0
iptable_nat 5764 1
nf_nat 17172 3 ipt_REDIRECT,ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4 12684 26 iptable_nat,nf_nat
nf_conntrack 58440 5 xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
nf_defrag_ipv4 2816 1 nf_conntrack_ipv4
iptable_filter 3456 1
ip_tables 11024 3 iptable_mangle,iptable_nat,iptable_filter
x_tables 14468 7 xt_state,xt_tcpudp,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,iptable_nat,ip_tables
radeon 127264 3
drm 76840 4 radeon
rng_core 4868 0
vboxdrv 53144 0
nls_utf8 2560 1
isofs 28964 1
nls_base 7684 6 udf,nls_cp437,vfat,fat,nls_utf8,isofs
zlib_inflate 16000 1 isofs
loop 13324 2
8139cp 18432 0
8139too 22528 0
via_rhine 19976 0
mii 5760 3 8139cp,8139too,via_rhine
snd_intel8x0 27548 1
snd_ac97_codec 91684 1 snd_intel8x0
ac97_bus 2560 1 snd_ac97_codec
snd_pcm 64516 2 snd_intel8x0,snd_ac97_codec
thermal 16284 0
snd_timer 18824 1 snd_pcm
processor 41132 1 thermal
serio_raw 5636 0
snd 46756 6 snd_intel8x0,snd_ac97_codec,snd_pcm,snd_timer
parport_pc 24100 0
thermal_sys 10408 2 thermal,processor
button 6928 0
intel_agp 24380 1
psmouse 38032 0
i2c_i801 9232 0
parport 31980 1 parport_pc
ehci_hcd 30476 0
ide_cd_mod 32520 0
agpgart 31560 2 drm,intel_agp
soundcore 7392 1 snd
uhci_hcd 20112 0
i2c_core 21908 1 i2c_i801
snd_page_alloc 8968 2 snd_intel8x0,snd_pcm
evdev 9248 3
usbcore 124432 4 usb_storage,ehci_hcd,uhci_hcd
cdrom 30880 1 ide_cd_mod
floppy 48388 0
pcspkr 3200 0
ata_piix 21636 0
ata_generic 5508 0
libata 147680 2 ata_piix,ata_generic
sd_mod 22168 0
scsi_mod 98836 4 sg,usb_storage,libata,sd_mod
ide_generic 3332 0 [permanent]
ide_pci_generic 4612 0
ide_gd_mod 14212 7
piix 6920 4
ide_core 93256 5 ide_cd_mod,ide_generic,ide_pci_generic,ide_gd_mod,piix
После шаманства (закрыл доступ) Module Size Used by
udf 68772 0
crc_itu_t 2944 1 udf
nls_cp437 6400 0
vfat 10240 0
fat 43808 1 vfat
sg 23092 0
usb_storage 55684 0
xt_state 2816 23
xt_tcpudp 3712 32
ipt_REJECT 3584 0
ipt_REDIRECT 2560 0
ipt_MASQUERADE 3456 4
ip_queue 7440 0
ip_vs_ftp 4484 0
ip_vs 73248 2 ip_vs_ftp
iptable_mangle 3456 0
iptable_nat 5764 1
nf_nat 17172 3 ipt_REDIRECT,ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4 12684 26 iptable_nat,nf_nat
nf_conntrack 58440 5 xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
nf_defrag_ipv4 2816 1 nf_conntrack_ipv4
iptable_filter 3456 1
ip_tables 11024 3 iptable_mangle,iptable_nat,iptable_filter
x_tables 14468 7 xt_state,xt_tcpudp,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,iptable_nat,ip_tables
radeon 127264 3
drm 76840 4 radeon
rng_core 4868 0
vboxdrv 53144 0
nls_utf8 2560 1
isofs 28964 1
nls_base 7684 6 udf,nls_cp437,vfat,fat,nls_utf8,isofs
zlib_inflate 16000 1 isofs
loop 13324 2
8139cp 18432 0
8139too 22528 0
via_rhine 19976 0
mii 5760 3 8139cp,8139too,via_rhine
snd_intel8x0 27548 1
snd_ac97_codec 91684 1 snd_intel8x0
ac97_bus 2560 1 snd_ac97_codec
snd_pcm 64516 2 snd_intel8x0,snd_ac97_codec
thermal 16284 0
snd_timer 18824 1 snd_pcm
processor 41132 1 thermal
serio_raw 5636 0
snd 46756 6 snd_intel8x0,snd_ac97_codec,snd_pcm,snd_timer
parport_pc 24100 0
thermal_sys 10408 2 thermal,processor
button 6928 0
intel_agp 24380 1
psmouse 38032 0
i2c_i801 9232 0
parport 31980 1 parport_pc
ehci_hcd 30476 0
ide_cd_mod 32520 0
agpgart 31560 2 drm,intel_agp
soundcore 7392 1 snd
uhci_hcd 20112 0
i2c_core 21908 1 i2c_i801
snd_page_alloc 8968 2 snd_intel8x0,snd_pcm
evdev 9248 3
usbcore 124432 4 usb_storage,ehci_hcd,uhci_hcd
cdrom 30880 1 ide_cd_mod
floppy 48388 0
pcspkr 3200 0
ata_piix 21636 0
ata_generic 5508 0
libata 147680 2 ata_piix,ata_generic
sd_mod 22168 0
scsi_mod 98836 4 sg,usb_storage,libata,sd_mod
ide_generic 3332 0 [permanent]
ide_pci_generic 4612 0
ide_gd_mod 14212 7
piix 6920 4
ide_core 93256 5 ide_cd_mod,ide_generic,ide_pci_generic,ide_gd_mod,piix
|
|
|
|
|
Записан
|
"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
|
|
|
NeO
Злобный админчик
Администратор
Карма: 62
Сообщений: 2376
Debian Stretch
ОС:
Linux
Браузер:
Firefox 3.5b4
|
Раз мыслей больше никаких нет, то стоит собрать логи с iptables и смотреть где и что блокируется.
|
|
|
|
|
Записан
|
|
|
|
black0f
Продвинутый
Карма: 0
Сообщений: 175
Debian-5.0.6
ОС:
Linux
Браузер:
Firefox 3.0.10
|
Да всё, заработал как-то сам по себе... Зато появились глюки с DNS, редко на какой сайт зайти можно. Но это уже offtop. Если завтра не разберусь - на выходных порадую глупыми (и не очень) вопросами  |
|
|
|
|
Записан
|
"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
|
|
|
black0f
Продвинутый
Карма: 0
Сообщений: 175
Debian-5.0.6
ОС:
Linux
Браузер:
 ELinks 0.12.GIT
|
Вопрос, в равной степени связанный и с почтой, и с iptables. Снова перестал работать почтовый клиент. Работает, только если открыть доступ мимо прокси. Стало быть, дело в iptables. А еще из локалки пинги проходили только по IP, что тоже не гуд. И взял я бубен. И ударил в него. И сказал я шлюзу: iptables -t nat -A POSTROUTING -p tcp --dport 53 -j MASQUERADE. И еще сказал я шлюзу: iptables -t nat -A POSTROUTING -p udp --dport 53 -j MASQUERDADE. И услышал меня шлюз, и стал он пропускать пакеты по 53 порту, и стали проходить пинги по имени, а не по адресу, и нашел mail-клиент smtp & pop3 серверы, и заработала почта. И было всем счастье. Вопрос к специалистам  - вышеописанная конструкция - это правильно? Или есть другие пути? |
|
|
|
|
Записан
|
"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
|
|
|
RemDerBauer
Rebuild world
Глобальный модератор
Карма: 14
Сообщений: 1886
Ubuntu forever
ОС:
 Windows XP
Браузер:
 Opera 9.64
|
работает, точно работает, каждый день работает? ты проверял? значит правильно
|
|
|
|
|
Записан
|
Мы говорим Linux, подразумеваем Ubuntu......
|
|
|
NeO
Злобный админчик
Администратор
Карма: 62
Сообщений: 2376
Debian Stretch
ОС:
Linux
Браузер:
Firefox 3.5b4
|
Да... Поговаривают, что если не запрещать DNS. то сеть работает значительно лучше...
|
|
|
|
|
Записан
|
|
|
|
RemDerBauer
Rebuild world
Глобальный модератор
Карма: 14
Сообщений: 1886
Ubuntu forever
ОС:
Windows XP
Браузер:
Opera 9.64
|
бггг...слухи они знаете ли такие..ходят то тут, то там
|
|
|
|
|
Записан
|
Мы говорим Linux, подразумеваем Ubuntu......
|
|
|
black0f
Продвинутый
Карма: 0
Сообщений: 175
Debian-5.0.6
ОС:
Linux
Браузер:
Links 2.1pre28
|
А если серьёзно, это нормально? Будучи чайнегом в iptables всегда думал, что для работы DNS достаточно прописать что-то вроде: iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT, iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT и то же для udp. По ходу, ошибался...
Добавлено: 23 Мая 2009, 21:13:34
Кстати, а почему тогда до этого все работало?
|
|
|
|
« Последнее редактирование: 23 Мая 2009, 21:13:34 от black0f »
|
Записан
|
"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
|
|
|
Nebula
Продвинутый
Карма: 7
Сообщений: 198
ОС:
 Windows 7
Браузер:
Firefox 3.0.10
|
... Или есть другие пути?
Поставь dnsmasq - получишь локальный кэширующий DNS сервер (заодно и DHCP) |
|
|
|
|
Записан
|
|
|
|
NeO
Злобный админчик
Администратор
Карма: 62
Сообщений: 2376
Debian Stretch
ОС:
Linux
Браузер:
Firefox 3.5b4
|
А если серьёзно, это нормально?
Более чем. PS Изменил название топика на более подходящее. Почтовые клиенты тут как-бы совсем не при делах. |
|
|
|
« Последнее редактирование: 24 Мая 2009, 08:18:14 от NeO »
|
Записан
|
|
|
|
black0f
Продвинутый
Карма: 0
Сообщений: 175
Debian-5.0.6
ОС:
Linux
Браузер:
Firefox 3.0.10
|
Доброго времени суток. Такая вот беда у мну приключилась: доступ в инет почему-то получается мимо прокси  Сейчас покажу свой rc.firewall, какие там правила прописаны, кто в теме - объясните, что там не так плз. int="eth0" # Внутренний интерфейс
ext="eth1" # Внешний интерфейс
intaddr="192.168.1.101" # Внутренний адрес
extaddr="192.168.2.12" # Внешний адрес
localnet="192.168.1.0/24" # Внутренняя сеть
cmd="/sbin/iptables" # Команда запуска
$cmd --flush
$cmd --delete-chain
$cmd --table nat --flush
$cmd --table filter --flush
$cmd --table nat --delete-chain
$cmd --table filter --delete-chain
$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD ACCEPT
$cmd -F INPUT
$cmd -F OUTPUT
$cmd -F FORWARD
echo 1 > /proc/sys/net/ipv4/ip_forward
$cmd -A INPUT -p icmp --icmp-type timestamp-request -j DROP
$cmd -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
$cmd -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$cmd -A INPUT -i lo -j ACCEPT
$cmd -A OUTPUT -o lo -j ACCEPT
$cmd -t nat -A POSTROUTING -o $ext -p icmp -j MASQUERADE
$cmd -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$cmd -t filter -A INPUT -p tcp -m tcp --dport 50000:50500 -m state --state NEW -j ACCEPT
$cmd -t filter -A INPUT -p udp -m udp --dport 50000:50500 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 31331 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 31331 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 139 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 139 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 137 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 137 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 138 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 138 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 445 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 445 -m state --state NEW -j ACCEPT
$cmd -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 53 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p udp --dport 53 -j MASQUERADE
$cmd -t nat -A POSTROUTING -s 192.168.1.5/24 -o $ext -j MASQUERADE
Вроде, не должен же пускать, а он, собака, пускает  |
|
|
|
|
Записан
|
"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
|
|
|
all
Небритый одмин
Карма: 2
Сообщений: 730
Windows Vista Power Pack 2008)))
ОС:
Windows XP
Браузер:
Firefox 3.5
|
хитрый у тя конфиг, зачем ты проверяешь цепочьки инпут и аутпут по одному порту? не проще тут разрешить устанавливать соединения по порту и работать из внутренней сети только с установленными соединениями (ESTABLISHED).
а вообще всесто своих дропов и аксептов вот это поробуй
$cmd -P INPUT DROP
$cmd -P FORWARD DROP
$cmd -P OUTPUT DROP
это запретит все кроме того что ты разрешишь и больше он уже никуда не пустит акромя твоих рулов.
|
|
|
|
« Последнее редактирование: 02 Июля 2009, 15:50:09 от all »
|
Записан
|
all-all-blog.blogspot.com - мысли о пингвинах, паяльниках и др. интересной хрени.
|
|
|
dzcom
Подозрительный тип
Карма: 0
Сообщений: 3
ОС:
Windows XP
Браузер:
Opera 9.25
|
Что-то я не совсем понял в чем проблема и как она была решена (что касается автора темы, такие вопросы возникают часто на многих форумах), 1. Как всем известно SQUID кеширующий прокси сервер, т.е пустить через него почту нет возможности (как все говорят нафига кешировать почту) + да и указанные почтовые клиенты как я знаю не поддерживают соединения через прокси сервер. если у тебя на клинтах в настройках сетевой в качестве основного шлюза стоит ip твоего шлюза тогда реально (т.е там где не прописано использовать для соединения прокси сервер) все будет мимо squid, и зачем на выходе маскарадить каждый запрос на какой-то порт, проще профильтровать в цепочке filter, а все что уже пришло после filter маскарадить в postrouting, да и воспользоваться советом all. Опиши подробнее что и как у тебя настроено, да и еще небольшой совет использую в правилах -i и -o, а то как-то трудновато читать что, куда и на какой интерфейс ушло.
|
|
|
|
|
Записан
|
|
|
|
|
Dilber MC Theme by HarzeM