iptables и ORFEE

0

1

итак, debian выступает в роли роутера. Внутрь проброшен 25 порт на ORFEE, который фильтрует спам. Такая проблема, что ORF не всегда правильно определяет IP сендера, то выдает верный IP, то адрес шлюза. Из-за этого сыпется много спама. При подключении через обычный роутер D-Link - все в порядке. Значит проблема в таблице маршрутизации, верно?

Ссылка

←	Грузит роутер

oVirt 3.1 на Fedora 17(Jboss не запускается)

→

Значит проблема в таблице маршрутизации, верно?

Интересный вывод

Покажи
ip l
ip a
ip r
iptables-save

zolden ★★★★★
(02.08.12 14:41:10 MSK)

Ответ на: комментарий от zolden 02.08.12 14:41:10 MSK

# Generated by iptables-save v1.4.2 on Thu Aug 2 14:45:04 2012

*filter

:INPUT ACCEPT [82480915:59735537237]

:FORWARD ACCEPT [269293409:224745219356]

:OUTPUT ACCEPT [360025837:480002280496]

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i ! eth1 -m state --state NEW -j ACCEPT

-A INPUT -p gre -j ACCEPT

-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -i eth0 -o eth1 -j ACCEPT

-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable

-A FORWARD -d 10.10.24.2/32 -i eth1 -j ACCEPT

-A OUTPUT -p gre -j ACCEPT

COMMIT

# Completed on Thu Aug 2 14:45:04 2012

# Generated by iptables-save v1.4.2 on Thu Aug 2 14:45:04 2012

*nat

:PREROUTING ACCEPT [50920343:3169883139]

:POSTROUTING ACCEPT [317447:27231219]

:OUTPUT ACCEPT [20679565:1509521736]

-A PREROUTING -d IP/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination INTERNAL_IP:110

-A PREROUTING -d IP/32 -p tcp -m tcp --dport 143 -j DNAT --to-destination INTERNAL_IP:143

-A PREROUTING -d IP/32 -p tcp -m tcp --dport 993 -j DNAT --to-destination INTERNAL_IP:993

-A PREROUTING -d IP/32 -p tcp -m tcp --dport 995 -j DNAT --to-destination INTERNAL_IP:995

-A PREROUTING -d IP/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination INTERNAL_IP:25

-A PREROUTING -d IP/32 -p tcp -m tcp --dport 2525 -j DNAT --to-destination INTERNAL_IP:25

-A POSTROUTING -o eth1 -j MASQUERADE

-A POSTROUTING -o eth0 -j MASQUERADE

COMMIT

# Completed on Thu Aug 2 14:45:04 2012

# Generated by iptables-save v1.4.2 on Thu Aug 2 14:45:04 2012

*mangle

:PREROUTING ACCEPT [1254718594:814140029427]

:INPUT ACCEPT [477449850:263290814503]

:FORWARD ACCEPT [777006956:550804975203]

:OUTPUT ACCEPT [360924220:480254508395]

:POSTROUTING ACCEPT [1137679378:1031006310644]

COMMIT

# Completed on Thu Aug 2 14:45:04 2012

de1phi
(02.08.12 14:53:26 MSK) автор топика

Ответ на: комментарий от de1phi 02.08.12 14:53:26 MSK

Для отправки форматрированного текста есть теги [pre][/pre].

то выдает верный IP, то адрес шлюза

Вобще не понятно, как он может выдавать верный ip, если у вас MASQUERADE на обоих интерфейсах.

mky ★★★★★
(02.08.12 15:31:15 MSK)

Ответ на: комментарий от mky 02.08.12 15:31:15 MSK

50 на 50.

как прописать, чтобы gw не изменял IP отправителя

de1phi
(04.08.12 13:52:18 MSK) автор топика

Ответ на: комментарий от de1phi 04.08.12 13:52:18 MSK

Нужно в начало цепочки POSTROUTING добавить правило типа:

-d INTERNAL_IP -j ACCEPT

Хотя я не знаю, зачем вам вобще нужен MASQUERADE на внутреннем интерфейсе.

mky ★★★★★
(04.08.12 23:55:48 MSK)

16 сентября 2012 г.

Ответ на: комментарий от mky 04.08.12 23:55:48 MSK

убрав MASQUERADE на внутреннем интерфейсе пропадает интернет внутри сети

de1phi
(16.09.12 17:28:04 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Грузит роутер

Admin

oVirt 3.1 на Fedora 17(Jboss не запускается)

→

Похожие темы