LINUX.ORG.RU
ФорумAdmin

не могу пользоваться почтовыми клиентами, через свой фаервалл (iptables), где косяк???


0

0

Собсно, трабл...
Не могу приконнектиться почтовым клиентом, типа OutLook'a, к внешним серверам, типа mail.ru, yandex.ru
При попытке соеденения выдаёт ошибку:
"Ошибка при соеденении с сервером..."
На внутренний интерфейс гейта пакеты приходят, а вот с внешнего не уходят... понимаю, что проблема в фаерволе, но только вот где???

собсно конфиг для iptables:

# Generated by iptables-save v1.2.6a on Tue Apr  6 19:41:37 2004
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Apr  6 19:41:37 2004
# Generated by iptables-save v1.2.6a on Tue Apr  6 19:41:37 2004
*mangle
:PREROUTING ACCEPT [204685003:25209405238]
:INPUT ACCEPT [204683373:25209235466]
:FORWARD ACCEPT [605:39640]
:OUTPUT ACCEPT [204601737:37474444050]
:POSTROUTING ACCEPT [204651186:37480678257]
COMMIT
# Completed on Tue Apr  6 19:41:37 2004
# Generated by iptables-save v1.2.6a on Tue Apr  6 19:41:37 2004
*filter
:OUTPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state ! -i eth1 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
COMMIT
# Completed on Tue Apr  6 19:41:37 2004 

Броузеры и всякие ICQ проблем не испытывают...
P.S. Стоит ещё squid....

Надежда на всезнающий алл, как всегда...

ну его наф - этот редхатовский формат. покажи лучше вывод iptables -L -v -n - так понятней будет.

sasha999 ★★★★
()
Ответ на: комментарий от sasha999

Вот что выдаёт...

Chain INPUT (policy ACCEPT 1579 packets, 125K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 8065 1481K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED 
    8  1935 ACCEPT     all  --  !eth1  *       0.0.0.0/0            0.0.0.0/0          state NEW 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:443 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:25 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:110 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:113 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:21 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:20 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 8584 packets, 3195K bytes)
 pkts bytes target     prot opt in     out     source               destination   

HellDog
() автор топика

Что-то странный у тебя файрвол - всё ACCEPT

Deleted
()

...

Покажи еще iptables -L -v -t nat, возможно с NAT проблема.

А вообще лучше конечно настроить все цепочки на блокирование:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

а уж потом разрешать соединения через ACCEPT.

x97Rang ★★★
()
Ответ на: ... от x97Rang

Вывод iptables -L -v -t nat:

Chain PREROUTING (policy ACCEPT 2169 packets, 293K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 714 packets, 82961 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2680  158K MASQUERADE  all  --  any    ppp0    anywhere             anywhere           

Chain OUTPUT (policy ACCEPT 3394 packets, 241K bytes)
 pkts bytes target     prot opt in     out     source               destination          


HellDog
() автор топика
Ответ на: комментарий от HellDog

я бы по-другому сделал

iptables -t nat -A POSTROUTING -s ip_твоей_внутренней_сети -d ! ip_твоей_внутренней_сети -j SNAT --to-source ip_внешнего_интерфейса

x97Rang ★★★
()
Ответ на: комментарий от x97Rang

А если....

А если ip_внешний каждый раз разный??? Подставить имя интерфейса???

HellDog
() автор топика
Ответ на: комментарий от x97Rang

Ему маскарад нужен - у него ppp0 внешний ифейс - смотри внимательно.

Deleted
()
Ответ на: Вот что выдаёт... от HellDog

Смотри, у тебя
1) Chain INPUT (policy ACCEPT 1579 packets, 125K bytes)
Все дальнейшие правила ACCEPT внизу - не имеют никакого смысла вообще, т.е. по-умолчанию - ACCEPT.
Политики по-умолчанию - DROP
маскарад настраивается:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
В инпут надо:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
И т.д.

Читай
/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO
man iptables

Deleted
()

Что выводит команда

cat /proc/sys/net/ipv4/ip_forward

nobody ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.