Lipetsk *nix Association Forum Lipetsk *nix Association Forum
Новости: С 7.09.2011 отправка личных сообщений разрешена только пользователям из группы новичков (4 и более публичных сообщений). Ибо спамеры просто задолбали.
 
*
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?
29 Сентябрь 2020, 12:35:16


Войти


Страниц: [1] 2   Вниз
  Печать  
Автор Тема: Проблема с сетью  (Прочитано 19968 раз)
0 Пользователей и 1 Гость смотрят эту тему.
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.10 Firefox 3.0.10


Награды
« : 11 Май 2009, 23:49:02 »

Ситуация такая: в локальной сети для доступа в инет используется шлюз (Debian Lenny 5, iptables, Squid). На клиентских машинах стоит, в основном, Thunderbird (кое-где - TheBat!). После настройки почтового клиента он при запуске сообщает, что не может связаться с сервером (pop3, smtp, почтовые ящики на lipetsk.ru, mail.ru, yandex.ru, rambler.ru). Чтобы стало возможно получать-отправлять почту, приходится совершать следующие шаманские обряды (перечисляю по порядку):
1. Закрыть почтовый клиент.
2. На шлюзе, в конфиге iptables, прописать:
Код:
$cmd -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j MASQUERADE
и перезапустить iptables.
3. Запустить почтовый клиент (начинает нормально работать), закрыть.
4. На шлюзе, в конфиге iptables, закомментировать ранее добавленное правило (см. выше) и перезапустить iptables.
5. Запустить почтовый клиент.
Только после этого он начинает нормально работать. Фрагмент стартового скрипта iptables:
Код:
# Разрешаем pop3, imap, smtp (Это мне Ne0 подсказал, сам я в iptables чайнегЪ:))
$cmd -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 143 -j MASQUERADE

# Это правило добавляем/убираем при настройке почты.
#$cmd -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j MASQUERADE

ИМХО, вышеописанная ситуация, мягко говоря... странная. Что я сделал не так?

З. Ы. Когда, первое время, юзал 3proxy вместо Squid, было тоже самое, так что, по ходу, проблема в настройке iptables. Вот скрипт:
Код:
#!/bin/bash

int="eth2" # Внутренний интерфейс
ext="eth1" # Внешний интерфейс
intaddr="192.168.0.1" # Внутренний адрес
extaddr="192.168.1.12" # Внешний адрес
localnet="192.168.0.0/24" # Внутренняя сеть
localports="1024:65535" # Порты, которые считаются локальными
cmd="/sbin/iptables" # Команда запуска
$cmd --flush
$cmd --delete-chain
$cmd --table nat --flush
$cmd --table filter --flush
$cmd --table nat --delete-chain
$cmd --table filter --delete-chain
$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD ACCEPT
$cmd -F INPUT
$cmd -F OUTPUT
$cmd -F FORWARD
modprobe -a iptable_nat
modprobe -a iptable_filter
modprobe -a iptable_mangle
modprobe -a ip_tables
modprobe -a ip_vs_ftp
modprobe -a ip_queue
modprobe -a ipt_MASQUERADE
modprobe -a ipt_REDIRECT
modprobe -a ipt_REJECT

echo 1 > /proc/sys/net/ipv4/ip_forward

echo 32000000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max

$cmd -A INPUT -p icmp --icmp-type timestamp-request -j DROP
$cmd -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
$cmd -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$cmd -A INPUT -i lo -j ACCEPT
$cmd -t nat -A POSTROUTING -o $ext -p icmp -j MASQUERADE
$cmd -t nat -A PREROUTING -d $extaddr -s $localnet -j DNAT --to-destination $intaddr

$cmd -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$cmd -t filter -A INPUT -p tcp -m tcp --dport 50000:50500 -m state --state NEW -j ACCEPT
$cmd -t filter -A INPUT -p udp -m udp --dport 50000:50500 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 143 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
$cmd -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 143 -j MASQUERADE
#$cmd -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j MASQUERADE
« Последнее редактирование: 24 Май 2009, 08:17:32 от NeO » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.5b4 Firefox 3.5b4


WWW Награды
« Ответ #1 : 12 Май 2009, 00:21:30 »

Покажи lsmod до шаманства и после.
Записан
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.10 Firefox 3.0.10


Награды
« Ответ #2 : 12 Май 2009, 01:04:41 »

Покажи lsmod до шаманства и после.
А что именно интересует?
lsmod до шаманства
Код:
Module                  Size  Used by
udf                    68772  0
crc_itu_t               2944  1 udf
nls_cp437               6400  0
vfat                   10240  0
fat                    43808  1 vfat
sg                     23092  0
usb_storage            55684  0
xt_state                2816  23
xt_tcpudp               3712  32
ipt_REJECT              3584  0
ipt_REDIRECT            2560  0
ipt_MASQUERADE          3456  4
ip_queue                7440  0
ip_vs_ftp               4484  0
ip_vs                  73248  2 ip_vs_ftp
iptable_mangle          3456  0
iptable_nat             5764  1
nf_nat                 17172  3 ipt_REDIRECT,ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      12684  26 iptable_nat,nf_nat
nf_conntrack           58440  5 xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
nf_defrag_ipv4          2816  1 nf_conntrack_ipv4
iptable_filter          3456  1
ip_tables              11024  3 iptable_mangle,iptable_nat,iptable_filter
x_tables               14468  7 xt_state,xt_tcpudp,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,iptable_nat,ip_tables
radeon                127264  3
drm                    76840  4 radeon
rng_core                4868  0
vboxdrv                53144  0
nls_utf8                2560  1
isofs                  28964  1
nls_base                7684  6 udf,nls_cp437,vfat,fat,nls_utf8,isofs
zlib_inflate           16000  1 isofs
loop                   13324  2
8139cp                 18432  0
8139too                22528  0
via_rhine              19976  0
mii                     5760  3 8139cp,8139too,via_rhine
snd_intel8x0           27548  1
snd_ac97_codec         91684  1 snd_intel8x0
ac97_bus                2560  1 snd_ac97_codec
snd_pcm                64516  2 snd_intel8x0,snd_ac97_codec
thermal                16284  0
snd_timer              18824  1 snd_pcm
processor              41132  1 thermal
serio_raw               5636  0
snd                    46756  6 snd_intel8x0,snd_ac97_codec,snd_pcm,snd_timer
parport_pc             24100  0
thermal_sys            10408  2 thermal,processor
button                  6928  0
intel_agp              24380  1
psmouse                38032  0
i2c_i801                9232  0
parport                31980  1 parport_pc
ehci_hcd               30476  0
ide_cd_mod             32520  0
agpgart                31560  2 drm,intel_agp
soundcore               7392  1 snd
uhci_hcd               20112  0
i2c_core               21908  1 i2c_i801
snd_page_alloc          8968  2 snd_intel8x0,snd_pcm
evdev                   9248  3
usbcore               124432  4 usb_storage,ehci_hcd,uhci_hcd
cdrom                  30880  1 ide_cd_mod
floppy                 48388  0
pcspkr                  3200  0
ata_piix               21636  0
ata_generic             5508  0
libata                147680  2 ata_piix,ata_generic
sd_mod                 22168  0
scsi_mod               98836  4 sg,usb_storage,libata,sd_mod
ide_generic             3332  0 [permanent]
ide_pci_generic         4612  0
ide_gd_mod             14212  7
piix                    6920  4
ide_core               93256  5 ide_cd_mod,ide_generic,ide_pci_generic,ide_gd_mod,piix
Во время шаманства (открыл доступ)
Код:
Module                  Size  Used by
udf                    68772  0
crc_itu_t               2944  1 udf
nls_cp437               6400  0
vfat                   10240  0
fat                    43808  1 vfat
sg                     23092  0
usb_storage            55684  0
xt_state                2816  23
xt_tcpudp               3712  32
ipt_REJECT              3584  0
ipt_REDIRECT            2560  0
ipt_MASQUERADE          3456  5
ip_queue                7440  0
ip_vs_ftp               4484  0
ip_vs                  73248  2 ip_vs_ftp
iptable_mangle          3456  0
iptable_nat             5764  1
nf_nat                 17172  3 ipt_REDIRECT,ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      12684  26 iptable_nat,nf_nat
nf_conntrack           58440  5 xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
nf_defrag_ipv4          2816  1 nf_conntrack_ipv4
iptable_filter          3456  1
ip_tables              11024  3 iptable_mangle,iptable_nat,iptable_filter
x_tables               14468  7 xt_state,xt_tcpudp,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,iptable_nat,ip_tables
radeon                127264  3
drm                    76840  4 radeon
rng_core                4868  0
vboxdrv                53144  0
nls_utf8                2560  1
isofs                  28964  1
nls_base                7684  6 udf,nls_cp437,vfat,fat,nls_utf8,isofs
zlib_inflate           16000  1 isofs
loop                   13324  2
8139cp                 18432  0
8139too                22528  0
via_rhine              19976  0
mii                     5760  3 8139cp,8139too,via_rhine
snd_intel8x0           27548  1
snd_ac97_codec         91684  1 snd_intel8x0
ac97_bus                2560  1 snd_ac97_codec
snd_pcm                64516  2 snd_intel8x0,snd_ac97_codec
thermal                16284  0
snd_timer              18824  1 snd_pcm
processor              41132  1 thermal
serio_raw               5636  0
snd                    46756  6 snd_intel8x0,snd_ac97_codec,snd_pcm,snd_timer
parport_pc             24100  0
thermal_sys            10408  2 thermal,processor
button                  6928  0
intel_agp              24380  1
psmouse                38032  0
i2c_i801                9232  0
parport                31980  1 parport_pc
ehci_hcd               30476  0
ide_cd_mod             32520  0
agpgart                31560  2 drm,intel_agp
soundcore               7392  1 snd
uhci_hcd               20112  0
i2c_core               21908  1 i2c_i801
snd_page_alloc          8968  2 snd_intel8x0,snd_pcm
evdev                   9248  3
usbcore               124432  4 usb_storage,ehci_hcd,uhci_hcd
cdrom                  30880  1 ide_cd_mod
floppy                 48388  0
pcspkr                  3200  0
ata_piix               21636  0
ata_generic             5508  0
libata                147680  2 ata_piix,ata_generic
sd_mod                 22168  0
scsi_mod               98836  4 sg,usb_storage,libata,sd_mod
ide_generic             3332  0 [permanent]
ide_pci_generic         4612  0
ide_gd_mod             14212  7
piix                    6920  4
ide_core               93256  5 ide_cd_mod,ide_generic,ide_pci_generic,ide_gd_mod,piix
После шаманства (закрыл доступ)
Код:
Module                  Size  Used by
udf                    68772  0
crc_itu_t               2944  1 udf
nls_cp437               6400  0
vfat                   10240  0
fat                    43808  1 vfat
sg                     23092  0
usb_storage            55684  0
xt_state                2816  23
xt_tcpudp               3712  32
ipt_REJECT              3584  0
ipt_REDIRECT            2560  0
ipt_MASQUERADE          3456  4
ip_queue                7440  0
ip_vs_ftp               4484  0
ip_vs                  73248  2 ip_vs_ftp
iptable_mangle          3456  0
iptable_nat             5764  1
nf_nat                 17172  3 ipt_REDIRECT,ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      12684  26 iptable_nat,nf_nat
nf_conntrack           58440  5 xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
nf_defrag_ipv4          2816  1 nf_conntrack_ipv4
iptable_filter          3456  1
ip_tables              11024  3 iptable_mangle,iptable_nat,iptable_filter
x_tables               14468  7 xt_state,xt_tcpudp,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,iptable_nat,ip_tables
radeon                127264  3
drm                    76840  4 radeon
rng_core                4868  0
vboxdrv                53144  0
nls_utf8                2560  1
isofs                  28964  1
nls_base                7684  6 udf,nls_cp437,vfat,fat,nls_utf8,isofs
zlib_inflate           16000  1 isofs
loop                   13324  2
8139cp                 18432  0
8139too                22528  0
via_rhine              19976  0
mii                     5760  3 8139cp,8139too,via_rhine
snd_intel8x0           27548  1
snd_ac97_codec         91684  1 snd_intel8x0
ac97_bus                2560  1 snd_ac97_codec
snd_pcm                64516  2 snd_intel8x0,snd_ac97_codec
thermal                16284  0
snd_timer              18824  1 snd_pcm
processor              41132  1 thermal
serio_raw               5636  0
snd                    46756  6 snd_intel8x0,snd_ac97_codec,snd_pcm,snd_timer
parport_pc             24100  0
thermal_sys            10408  2 thermal,processor
button                  6928  0
intel_agp              24380  1
psmouse                38032  0
i2c_i801                9232  0
parport                31980  1 parport_pc
ehci_hcd               30476  0
ide_cd_mod             32520  0
agpgart                31560  2 drm,intel_agp
soundcore               7392  1 snd
uhci_hcd               20112  0
i2c_core               21908  1 i2c_i801
snd_page_alloc          8968  2 snd_intel8x0,snd_pcm
evdev                   9248  3
usbcore               124432  4 usb_storage,ehci_hcd,uhci_hcd
cdrom                  30880  1 ide_cd_mod
floppy                 48388  0
pcspkr                  3200  0
ata_piix               21636  0
ata_generic             5508  0
libata                147680  2 ata_piix,ata_generic
sd_mod                 22168  0
scsi_mod               98836  4 sg,usb_storage,libata,sd_mod
ide_generic             3332  0 [permanent]
ide_pci_generic         4612  0
ide_gd_mod             14212  7
piix                    6920  4
ide_core               93256  5 ide_cd_mod,ide_generic,ide_pci_generic,ide_gd_mod,piix
Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.5b4 Firefox 3.5b4


WWW Награды
« Ответ #3 : 14 Май 2009, 19:14:06 »

Раз мыслей больше никаких нет, то стоит собрать логи с iptables и смотреть где и что блокируется.
Записан
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.10 Firefox 3.0.10


Награды
« Ответ #4 : 14 Май 2009, 20:25:59 »

Да всё, заработал как-то сам по себе... Зато появились глюки с DNS, редко на какой сайт зайти можно. Но это уже offtop. Если завтра не разберусь - на выходных порадую глупыми (и не очень) вопросами Улыбка
Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
ELinks 0.12.GIT ELinks 0.12.GIT


Награды
« Ответ #5 : 22 Май 2009, 12:49:11 »

Вопрос, в равной степени связанный и с почтой, и с iptables. Снова перестал работать почтовый клиент. Работает, только если открыть доступ мимо прокси. Стало быть, дело в iptables. А еще из локалки пинги проходили только по IP, что тоже не гуд. И взял я бубен. И ударил в него. И сказал я шлюзу: iptables -t nat -A POSTROUTING -p tcp --dport 53 -j MASQUERADE. И еще сказал я шлюзу: iptables -t nat -A POSTROUTING -p udp --dport 53 -j MASQUERDADE. И услышал меня шлюз, и стал он пропускать пакеты по 53 порту, и стали проходить пинги по имени, а не по адресу, и нашел mail-клиент smtp & pop3 серверы, и заработала почта. И было всем счастье. Вопрос к специалистам Подмигивающий - вышеописанная конструкция - это правильно? Или есть другие пути?
Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
RemDerBauer
Rebuild world
Глобальный модератор
*****

Карма: 14
Сообщений: 1886


Ubuntu forever

ОС:
Windows XP Windows XP
Браузер:
Opera 9.64 Opera 9.64


Награды
« Ответ #6 : 22 Май 2009, 14:50:34 »

работает, точно работает, каждый день работает? ты проверял? значит правильно
Записан

Мы говорим Linux, подразумеваем Ubuntu......
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.5b4 Firefox 3.5b4


WWW Награды
« Ответ #7 : 22 Май 2009, 18:52:15 »

Да... Поговаривают, что если не запрещать DNS. то сеть работает значительно лучше...
Записан
RemDerBauer
Rebuild world
Глобальный модератор
*****

Карма: 14
Сообщений: 1886


Ubuntu forever

ОС:
Windows XP Windows XP
Браузер:
Opera 9.64 Opera 9.64


Награды
« Ответ #8 : 22 Май 2009, 23:52:53 »

бггг...слухи они знаете ли такие..ходят то тут, то там
Записан

Мы говорим Linux, подразумеваем Ubuntu......
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Links 2.1pre28 Links 2.1pre28


Награды
« Ответ #9 : 23 Май 2009, 21:11:27 »

А если серьёзно, это нормально? Будучи чайнегом в iptables всегда думал, что для работы DNS достаточно прописать что-то вроде: iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT, iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT и то же для udp. По ходу, ошибался...

Добавлено: 23 Май 2009, 21:13:34
Кстати, а почему тогда до этого все работало?
« Последнее редактирование: 23 Май 2009, 21:13:34 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
Nebula
Продвинутый
***

Карма: 7
Сообщений: 198

ОС:
Windows 7 Windows 7
Браузер:
Firefox 3.0.10 Firefox 3.0.10


Награды
« Ответ #10 : 24 Май 2009, 07:21:47 »

... Или есть другие пути?
Поставь dnsmasq - получишь локальный кэширующий DNS сервер (заодно и DHCP)
Записан
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.5b4 Firefox 3.5b4


WWW Награды
« Ответ #11 : 24 Май 2009, 08:15:45 »

А если серьёзно, это нормально?
Более чем.

PS Изменил название топика на более подходящее. Почтовые клиенты тут как-бы совсем не при делах.
« Последнее редактирование: 24 Май 2009, 08:18:14 от NeO » Записан
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.10 Firefox 3.0.10


Награды
« Ответ #12 : 02 Июль 2009, 15:01:29 »

Доброго времени суток. Такая вот беда у мну приключилась: доступ в инет почему-то получается мимо прокси  Шокирован Сейчас покажу свой rc.firewall, какие там правила прописаны, кто в теме - объясните, что там не так плз.
Код:
int="eth0" # Внутренний интерфейс
ext="eth1" # Внешний интерфейс
intaddr="192.168.1.101" # Внутренний адрес
extaddr="192.168.2.12" # Внешний адрес
localnet="192.168.1.0/24" # Внутренняя сеть
cmd="/sbin/iptables" # Команда запуска

$cmd --flush
$cmd --delete-chain
$cmd --table nat --flush
$cmd --table filter --flush
$cmd --table nat --delete-chain
$cmd --table filter --delete-chain

$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD ACCEPT
$cmd -F INPUT
$cmd -F OUTPUT
$cmd -F FORWARD

echo 1 > /proc/sys/net/ipv4/ip_forward

$cmd -A INPUT -p icmp --icmp-type timestamp-request -j DROP
$cmd -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
$cmd -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$cmd -A INPUT -i lo -j ACCEPT
$cmd -A OUTPUT -o lo -j ACCEPT
$cmd -t nat -A POSTROUTING -o $ext -p icmp -j MASQUERADE
$cmd -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$cmd -t filter -A INPUT -p tcp -m tcp --dport 50000:50500 -m state --state NEW -j ACCEPT
$cmd -t filter -A INPUT -p udp -m udp --dport 50000:50500 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 31331 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 31331 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 139 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 139 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 137 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 137 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 138 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 138 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 445 -m state --state NEW -j ACCEPT
$cmd -A OUTPUT -p tcp --dport 445 -m state --state NEW -j ACCEPT
$cmd -t nat -A POSTROUTING -p tcp --dport 25 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 110 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p tcp --dport 53 -j MASQUERADE
$cmd -t nat -A POSTROUTING -p udp --dport 53 -j MASQUERADE
$cmd -t nat -A POSTROUTING -s 192.168.1.5/24 -o $ext -j MASQUERADE
Вроде, не должен же пускать, а он, собака, пускает  Плачущий
Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
all
Небритый одмин
*****

Карма: 2
Сообщений: 730


Windows Vista Power Pack 2008)))

ОС:
Windows XP Windows XP
Браузер:
Firefox 3.5 Firefox 3.5


Награды
« Ответ #13 : 02 Июль 2009, 15:46:12 »

хитрый у тя конфиг, зачем ты проверяешь цепочьки инпут и аутпут по одному порту? не проще тут разрешить устанавливать соединения по порту и работать из внутренней сети только с установленными соединениями (ESTABLISHED).
а вообще всесто своих дропов и аксептов вот это поробуй
$cmd -P INPUT DROP
$cmd -P FORWARD DROP
$cmd -P OUTPUT DROP

это запретит все кроме того что ты разрешишь и больше он уже никуда не пустит акромя твоих рулов.
« Последнее редактирование: 02 Июль 2009, 15:50:09 от all » Записан

all-all-blog.blogspot.com - мысли о пингвинах, паяльниках и др. интересной хрени.
dzcom
Подозрительный тип
*

Карма: 0
Сообщений: 3

ОС:
Windows XP Windows XP
Браузер:
Opera 9.25 Opera 9.25


Награды
« Ответ #14 : 02 Июль 2009, 16:52:46 »

Что-то я не совсем понял в чем проблема и как она была решена (что касается автора темы, такие вопросы возникают часто на многих форумах), 1. Как всем известно SQUID кеширующий прокси сервер, т.е пустить через него почту нет возможности (как все говорят нафига кешировать почту) + да и указанные почтовые клиенты как я знаю не поддерживают соединения через прокси сервер. если у тебя на клинтах в настройках сетевой в качестве основного шлюза стоит ip твоего шлюза тогда реально (т.е там где не прописано использовать для соединения прокси сервер) все будет мимо squid, и зачем на выходе маскарадить каждый запрос на какой-то порт, проще профильтровать в цепочке filter, а все что уже пришло после filter маскарадить в postrouting, да и воспользоваться советом all.  Опиши подробнее что и как у тебя настроено, да и еще небольшой совет использую в правилах -i и -o, а то как-то трудновато читать что, куда и на какой интерфейс ушло.
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2011, Simple Machines

Valid XHTML 1.0! Valid CSS! Dilber MC Theme by HarzeM