LINUX.ORG.RU
ФорумAdmin

...Помогите с iptables!


0

0

Привет всем! Вот уже почти неделя разбирательства с роутером. Обьясните, что я неправильно делаю, когда для перенаправления пакетов с внутреннего eth0 на внешний ppp0 запускаю следующеий скрипт:

#!/bin/bash

IPTABLES='/sbin/iptables' EXTIF='ppp0' INTIF1='eth0'

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward

$IPTABLES -t nat -I POSTROUTING -p tcp -m multiport -o $EXTIF --dport 110 -j MASQUERADE

$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT

Делается это для того, чтобы изнутри сети достучаться до POP3-сервера. Популярно обьясните, посему нихрена не выходит... Буду очень благодарен!!!

★★
«Падает» MySQL. Помогите!
Учёт трафика (да-да, опять)

... Имеется в виду ВНЕШНИЙ POP3-сервер на бесплатном хостинге. Проверяю на клиентской машине следующим способом:

telnet mail.gala.net 110

Подключение к mail.gala.net...Не удалось открыть подключение к этому узлу, на порт 110: Сбой подключения

ser_bur ★★
() автор топика

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT

anonymous
()
Ответ на: комментарий от anonymous

И так не катит... Может, я клиентские машины неправильно настраиваю? Я просто указываю $INTIF1 (192.168.0ю.1) как шлюз. Ну, и прокси в настройках браузера (на роутере стоит сквид, порты и коннект разрешены)...

ser_bur ★★
() автор топика
Ответ на: комментарий от ser_bur

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -p tcp --dport 110 -j MASQUERADE
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -p tcp --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -o $INTIF1 -i $EXTIF -p tcp --sport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT
+ проверить, чтоб перед этими правилами не было правил, запрещающих движение пакетов к и от POP3-сервера.

spirit ★★★★★
()
Ответ на: комментарий от anonymous

Возможно, я полный идиот... Не спорю. Только все, что должно работать, не работает :(. Уже все перепробовал... Какие еще идеи? Мысли суицидального направления не предлагать :)

ser_bur ★★
() автор топика
Ответ на: комментарий от ser_bur

возьми готовый скрипт с многими возможностями поиск на фрешмите по слову monmotha's

anonymous
()
Ответ на: комментарий от ser_bur

> Уже все перепробовал... Какие еще идеи?
А попытаться определить почему не работает не пробовали ? Например запустить tcpdump с нужными параметрами (tcpdump -ni eth0 icmp or port 110) сначала на одном, потом на другом интерфейсах и посмотреть какие пакеты куда доходят, какие в них адреса и т.п. А сюда хотя бы запостить вывод iptables -L -nv, iptables -t nat -L -nv, ifconfig eth0, route -n, lsmod.
По приведенным выше цепочкам пакеты вообще проходят ? Счетчики у них не нулевые ?

spirit ★★★★★
()
Ответ на: комментарий от spirit 

[root@lp1 root]# iptables -L -nv
Chain INPUT (policy DROP 6 packets, 1020 bytes)
 pkts bytes target     prot opt in     out     source               destination
  341 46337 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x10/0x10
    2   277 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state ESTABLISHED
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53 dpts:1024:65535
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 12
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:2049:2050
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:6000:6063
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:7000:7010
    3   144 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:1024:63353

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0            icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 405 packets, 48064 bytes)
 pkts bytes target     prot opt in     out     source               destination

ser_bur ★★
() автор топика
Ответ на: комментарий от ser_bur

[root@lp1 root]# iptables -t nat -L -nv Chain PREROUTING (policy ACCEPT 8 packets, 1077 bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 12 packets, 912 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 12 packets, 912 bytes) pkts bytes target prot opt in out source destination

ser_bur ★★
() автор топика
Ответ на: комментарий от ser_bur 

[root@lp1 root]# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:30:1B:0F:71:CE
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::230:1bff:fe0f:71ce/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:422908 errors:1 dropped:2 overruns:1 frame:0
          TX packets:620063 errors:0 dropped:0 overruns:11 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:104273846 (99.4 Mb)  TX bytes:236816573 (225.8 Mb)
          Interrupt:5 Base address:0x2000

You have new mail in /var/spool/mail/root
[root@lp1 root]# ifconfig ppp0
ppp0      Link encap:Point-to-Point Protocol
          inet addr:192.168.3.26  P-t-P:195.5.62.149  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:161926 errors:561 dropped:0 overruns:0 frame:0
          TX packets:174047 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:130308142 (124.2 Mb)  TX bytes:15479759 (14.7 Mb)

[root@lp1 root]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.5.62.149    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     192.168.0.1     255.255.255.0   UG    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         195.5.62.149    0.0.0.0         UG    0      0        0 ppp0

ser_bur ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
«Падает» MySQL. Помогите!
Admin
Учёт трафика (да-да, опять)