Проброс портов 110 и 25 срочно нужна помощь!

покажите пожалуйста полностью таблицы filter и nat

и ещё интересно почему раньше всё работало а сейчас не работает.

#!/bin/sh

INET_IP="212.192.22.11"
INET_IFACE="eth0"
INET_BROADCAST="212.192.22.255"
LAN_IP="10.0.0.1"
LAN_IP_RANGE="10.0.0.0/24"
LAN_IFACE="eth1"
LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_string

/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -N bad_tcp_packets


$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8080 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 8081 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4661 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4662 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4711 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 4712 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 6588 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 3128 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 3389 -j allowed

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4665 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4672 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 3389 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST --destination-port 135:139 -j DROP

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets


$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 4662 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p udp --dport 4672 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4661 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4662 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 4672 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 4665 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4711 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4712 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 3389 -j DNAT --to-destination 10.0.0.6
# 51909
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 51909 -j DNAT --to-destination 10.0.0.6

$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4661 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4662 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 4672 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 4665 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4711 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4712 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 51909 -j ACCEPT

# переслать входящие UDP пакеты(порт 5060 и 16500) на интерфейс eth0 (X.X.X.X)
# во внутреннюю сеть на 172.16.0.200 на соответствующие порты
# iptables -t nat -A PREROUTING -p udp -d x.x.x.x --dport 5060 -j DNAT --to-destination 172.16.0.200
# iptables -t nat -A PREROUTING -p udp -d x.x.x.x --dport 16500 -j DNAT --to-destination 172.16.0.200
#
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4661 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4662 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 3389 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 4672 -j DNAT --to-destination 10.0.0.6
$IPTABLES -t nat -A PREROUTING -p udp -d $INET_IP --dport 3389 -j DNAT --to-destination 10.0.0.6
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4661 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 4662 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 4672 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p udp --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -d 10.0.0.6 -p tcp --dport 3389 -j ACCEPT

ещё попробуй посмотреть tcpdump`ом идут ли вобще пакеты.

например tcpdump host -i eth0 host $client1 and host 192.168.32.1

в другом окне tcpdump -i ppp0 host $mail_server

и попробуй ломиться с $client1 на почту

это мой конфиг вобщем... со 110 и 22 все ок. так что юзай. сетевухи две, одна в локалку, другая в нет.

в приведённых выше цепочках вобще портов 110 и 25 нету)

не путайте автора топика

> в приведённых выше цепочках вобще портов 110 и 25 нету)

почту снимаю и отправляю на этом конфиге. Что я делаю не так? О_О

???

>почту снимаю и отправляю на этом конфиге. Что я делаю не так? О_О

вестимо из-за строчки $IPTABLES -P FORWARD ACCEPT которое делает все цепочки вида -A FORWARD ... -j ACCEPT излишними.

У вас ВСЕ соединения с внутренней сети в инет разрешены.

Да и прочитайте внимательно, автору нужно чтобы юзеры ходили на 192.168.32.1:110 а приходили на некий_внешний_мейл_сервак:110

А по моему ты просто забыл указать таблицу (-t nat) и вписал правило в таблицу filter. Поетому у тебя обрабатывается только первый пакет из потока (128 байт), остальные нет.

Если так твое правило должно выглядеть так:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination 195.147.xx.xx:25

>А по моему ты просто забыл указать таблицу (-t nat) и вписал правило в таблицу filter

невозможно. в таблице filter нет цепочки PREROUTING и нельзя использовать цель DNAT

если писать это в скрипте, который выполняется во время загрузки, то сообщение: "iptables: No chain/target/match by that name" можно и не заметить.

а вообще было бы хорошо если бы автор темы показал таблицы filter и nat.

кажется мне что автор темы уже ищет другую работу =)