Хочу настроить iptables на gmail.com

>> Хочу вставить правило ipbtables, которое позволяло соединяться с imap.gmail.com.


Что за бред тут написан?

Ещё раз: Есть файер, который настроен на то, чтобы по умолчанию резать всё. Хочу открыть лазейку своему почтовику, чтобы он соединялся с imap.gmail.com. Проблема: IP-адрес сервака imap.gmail.com постоянно меняется. Причём этих IP-адресов не 2 и не 3, а х.з. сколько. Вот и вопрос: сколько этих адресов, какие они?

iptables не работает на уровне приложений. И уж точно не будет резольвить imap.gmail.com для каждого пакета :-) Так что сделай дополнительную цепочку да кидай туда ip шники потихоньку.

> да кидай туда ip шники потихоньку

Ну, я пока так и делаю. Только хотелось бы знать: когда это закончится, и закончится ли? Может надо сделать сразу диапазон адресов (если бы знать какой)?

сделай /24 ?

Что мешает настроить не по адресу, а по имени imap.gmail.com? Написать в форварде правило только для твоего компа, только для жмыловских портов, написать в прероутинге преобразование днсом имени в IP.

> Что мешает настроить не по адресу, а по имени imap.gmail.com? Написать в форварде правило только для твоего компа, только для жмыловских портов, написать в прероутинге преобразование днсом имени в IP.

Документация :-(

Какая такая документация? У меня все работает. В почтовике пишется pop.gmail.com, smtp.gmail.com. Поставить вместо pop - imap и поменять номер порта.

iptables -A FORWARD -p tcp -i eth0 -o eth1 -s (твой комп) --multiport 995, 465 j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 -d (твой комп) --multiport 995, 465 j ACCEPT

iptables -t nat -A PREROUTING -p udp -i eth0 -s (твой комп) -d (IP eth0) --dport 53 -j DNAT --to-destination (IP DNS) iptables -t nat -A POSTROUTING -0 eth1 -s (твой комп) -j SNAT --to-source (внешний IP твоего сервера)

Насколько я знаю, FQDN сразу преобразовывается в IP при запуске скрипта файера. Если после этого адрес поменяется, то правило не будет действовать, т.к. повторного преобразования не будет. Или я не прав?

Да ну нафиг так парится. Не проще ли все заворачивать в squid, потом уже на основе правил гибко разрешать, или запрещать на основе доменного имени.

imap протокол через squid... Это круто.

По теме. Как уже сказали, проще всего создать отдельную цепочку и кидать в нее новые ip-адреса. Если на сервере поставить кеширующий DNS и клиенту сказать использовать этот DNS, то ip-адреса можно добавлять автоматически, скриптом, раз в 15 минут. Если не хочется генерить лишний трафик, то можно сделать скрип, парсящий лог DNS-сервера...

> Какая такая документация? У меня все работает.

:-)))))))

fqdn отрезольвится ОДИН раз в ОДИН ip при запуске правила. Топик же совсем о другом.

Тебе какая религия не позволяет открыть imap порты на выход на любые адреса?

Кроме того я вижу всего два адреса
$ host imap.gmail.com
imap.gmail.com is an alias for gmail-imap.l.google.com.
gmail-imap.l.google.com has address 64.233.183.109
gmail-imap.l.google.com has address 64.233.183.111

host imap.gmail.com
imap.gmail.com is an alias for gmail-imap.l.google.com.
gmail-imap.l.google.com has address 209.85.129.109

я что-то не то курю?

Оно что провайдерозависимое?

[другой провайдер]

$ host imap.gmail.com
imap.gmail.com is a nickname for gmail-imap.l.google.com
gmail-imap.l.google.com has address 216.239.59.109

Видать в гоогле освоили view (bind)

Сцуко, твой IP'шник ближе

$ traceroute -n -f 7 64.233.183.111
traceroute to 64.233.183.111 (64.233.183.111), 30 hops max, 40 byte packets
 7  72.14.232.208  90.900 ms 72.14.238.119  87.931 ms  273.754 ms
 8  72.14.232.141  79.268 ms  80.538 ms 209.85.248.79  78.778 ms
 9  72.14.233.77  88.189 ms 72.14.233.83  81.844 ms  83.491 ms
10  216.239.43.30  100.382 ms 209.85.249.133  95.489 ms 216.239.43.34  87.193 ms
11  64.233.183.111  251.759 ms  78.371 ms  81.262 ms

$ traceroute -n -f 7 216.239.59.109
traceroute to 216.239.59.109 (216.239.59.109), 30 hops max, 40 byte packets
 7  209.85.250.140  384.307 ms  80.908 ms  75.063 ms
 8  66.249.95.150  98.498 ms  96.521 ms  98.315 ms
 9  64.233.174.112  98.474 ms  297.076 ms  99.770 ms
10  72.14.232.241  94.811 ms  94.733 ms 64.233.174.185  94.958 ms
11  216.239.49.126  100.061 ms 216.239.49.114  99.115 ms  99.057 ms
12  216.239.59.109  106.748 ms  240.825 ms  95.831 ms

$ traceroute -n -f 7 209.85.129.109
traceroute to 209.85.129.109 (209.85.129.109), 30 hops max, 40 byte packets
 7  72.14.232.201  83.841 ms 72.14.232.165  122.586 ms 72.14.232.201  69.379 ms
 8  72.14.233.206  71.094 ms  72.570 ms  71.940 ms
 9  209.85.129.109  74.031 ms  73.678 ms  75.853 ms

> Оно что провайдерозависимое?

Оно временнозависимое. Я же писал: периодически меняется. Попробуй в течение дня понажимать nslookup imap.gmail.com