iptables и почта

0

0

Для работы почты через веб-интерфейс в конфиге задано следующее:

iptables -A FORWARD -p tcp -i eth0 -o eth1 -s 192.168.1.1 -m multiport --dport 995, 465 -j ACCEPT

iptables -A FORWARD -p tcp -i eth1 -o eth0 -d 192.168.1.1 -m multiport --dport 995, 465 -j ACCEPT

Почта ходит, если в почтовом клиенте прописать ip-адреса pops и smtps серверов, если же написать pop.gmail.com - не работает.

Т.е. понятно, что не работает преобразование имени в ip-адрес. В логах виден запрос по порту 53, после чего была написана следующая строка:

iptables -A INPUT -p udp -i eth0 -s 192.168.1.1 -d $IPADR_IN --dport 53 -j ACCEPT

Почта все равно не работает и в логах теперь тишина. Чего делать?

Ссылка

←	Помогите неофиту в samba

DNAT через два компьютера

→

Не INPUT, а FORWARD

anonymous
(10.10.07 16:07:07 MSD)

Ссылка

А есть ли запись в dns-зоне?
И запущен ли named или что там у Вас?

anonymous
(10.10.07 16:10:07 MSD)

Ответ на: комментарий от anonymous 10.10.07 16:10:07 MSD

iptables -A FORWARD -p udp -i eth0 -s 192.168.1.1 -d $IPADR_IN --dport 53 -j ACCEPT

такое тоже пробовали, не помогает.

Да, днс провайдерский, своего нет.

anonymous
(10.10.07 16:15:52 MSD)

Ответ на: комментарий от anonymous 10.10.07 16:15:52 MSD

iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT

wellcomer
(10.10.07 17:14:23 MSD)

Ответ на: комментарий от anonymous 10.10.07 16:15:52 MSD

Либо, iptables -A FORWARD -p udp -m multiport --ports 53 -j ACCEPT

wellcomer
(10.10.07 17:17:33 MSD)

Ссылка

Ответ на: комментарий от wellcomer 10.10.07 17:14:23 MSD

iptables -A FORWARD -p udp --dport 53 -j ACCEPT iptables -A FORWARD -p udp --sport 53 -j ACCEPT

так тоже не работает

anonymous
(10.10.07 17:19:12 MSD)

Ответ на: комментарий от anonymous 10.10.07 17:19:12 MSD

схему сети и iptables -L -v -n в студию....

wellcomer
(10.10.07 17:22:27 MSD)

Ответ на: комментарий от wellcomer 10.10.07 17:22:27 MSD

Chain INPUT

pkts bytes target

204 15908 ACCEPT

463 74369 ACCEPT

0 0 ACCEPT

2 119 ACCEPT

0 0 ACCEPT

348 95097 ACCEPT

0 0 ACCEPT

1 48 LOG

Chain FORWARD

pkts bytes target

0 0 ACCEPT

0 0 LOG

Chain OUTPUT

pkts bytes target

0 0 ACCEPT

731 217K ACCEPT

413 63607 ACCEPT

0 0 LOG (policy DROP 1 packets, 48 bytes) prot opt in out source destination tcp -- eth0 * 192.168.1.1 192.168.1.17 tcp dpt:22 tcp -- eth0 * 192.168.1.1 192.168.1.17 tcp dpt:9000 tcp -- eth0 * 192.168.1.1 192.168.1.17 tcp dpt:25 tcp -- eth0 * 192.168.1.1 192.168.1.17 tcp dpt:110 tcp -- eth0 * 192.168.1.1 192.168.1.17 tcp dpt:80 udp -- eth0 * 192.168.1.1 192.168.1.17 udp dpt:53 all -- eth0 * 0.0.0.0/0 192.168.1.17 state RELATED,ESTABLISHED tcp -- eth1 * 0.0.0.0/0 xx.xx.xx.x tcp dpt:80 tcp -- eth1 * 0.0.0.0/0 xx.xx.xx.10 tcp dpt:25 all -- eth1 * 0.0.0.0/0 xx.xx.xx.10 state RELATED,ESTABLISHED all -- lo * 0.0.0.0/0 0.0.0.0/0 tcp -- * * 127.0.0.1 0.0.0.0/0 icmp -- * * 127.0.0.1 0.0.0.0/0 udp -- * * 127.0.0.1 0.0.0.0/0 all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `INPUT: ' (policy DROP 0 packets, 0 bytes) prot opt in out source destination tcp -- eth0 eth1 192.168.1.1 0.0.0.0/0 multiport dports 995,465 tcp -- eth1 eth0 0.0.0.0/0 192.168.1.1 multiport sports 995,465 udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 53 all -- eth0 * 192.168.1.1 194.187.109.26 all -- eth1 * 194.187.109.26 192.168.1.1 all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `FORWARD: ' (policy DROP 1 packets, 40 bytes) prot opt in out source destination all -- * lo 0.0.0.0/0 0.0.0.0/0 all -- * * 127.0.0.1 0.0.0.0/0 all -- * eth0 192.168.168.170 0.0.0.0/0 all -- * eth1 62.64.104.10 0.0.0.0/0 all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `OUTPUT: '

anonymous
(10.10.07 17:36:39 MSD)

Ответ на: комментарий от anonymous 10.10.07 17:36:39 MSD

0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport _dports_ 53

должно быть ports, а не dports, все дропнутые пакеты пишутся в лог,
там значит и смотри что дропается, и почему в форварде все счетчики
по нулям...странно, как ты проверяешь что у тебя dns через
форвард не проходит?

wellcomer
(10.10.07 18:10:04 MSD)

Ответ на: комментарий от anonymous 10.10.07 17:36:39 MSD

dns сервера на машине с почтовым клиентом прописаны?

wellcomer
(10.10.07 18:14:34 MSD)

Ответ на: комментарий от wellcomer 10.10.07 18:10:04 MSD

Есть подозрение что до форварда он просто не доходит, потому как без разницы, что ports, dport,sport. В лог ничего не пишется, в том то и проблема, где отпадает днс неизвестно. В форварде все счетчики по нулям, потому как на данный момент ничего не проходит по нему.

anonymous
(10.10.07 18:19:07 MSD)

Ссылка

Ответ на: комментарий от wellcomer 10.10.07 18:14:34 MSD

прописаны в resolv.conf.

anonymous
(10.10.07 18:20:15 MSD)

Ссылка

Ответ на: комментарий от wellcomer 10.10.07 18:14:34 MSD

на машине с почтовым клиентом днс-сервер тоже прописан

Amazonka
(10.10.07 18:36:50 MSD)

Ответ на: комментарий от Amazonka 10.10.07 18:36:50 MSD

ну пропиши тогда на клиенте в hosts вручную pop.gmail.com с его айпишником и не заморачивай iptables, видать рановато пока.

wellcomer
(10.10.07 20:21:28 MSD)

Ответ на: комментарий от wellcomer 10.10.07 20:21:28 MSD

все заработало после того, как на клиентской машине напрямую прописала днс провайдера, а перенаправление через сервер на днс провайдера получается не катит.

Amazonka
(12.10.07 11:59:48 MSD)

Ответ на: комментарий от Amazonka 12.10.07 11:59:48 MSD

Ура! Перенаправление через шлюз на днс провайдера заработало таким макаром:

iptables -t nat -A PREROUTING -p udp -i eth0 -d IPADR_IN --dport 53 -j DNAT --to-destination $IP_DNS

Amazonka
(12.10.07 16:12:16 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите неофиту в samba

Admin

DNAT через два компьютера

→

Похожие темы