LINUX.ORG.RU

Сообщения kainitis

 

iptables, пропуск конкретного пользователя

Форум — Security

День добрый.

установлено и настроено:
-squid+sams;
- postfix+dovecot;
ip inet = 88.88.88.88
gate =192.168.1.200
local_net = 192.168.1.0/24

задача такая:
- всех гнать на сквид, там с доспупом разрулю;
- 1 человеку надо получать почту с веб сервера напрямую, остальные с лок.почт сервера.(192.168.1.33)
- 1 машине открыть полный доступ к адресам банк клиентов, ко всему остальному закрыть.(192.168.1.7)
на Debian 6 в iptables я сделал так
A#!/bin/bash
#очистка существующих правил 
iptables -F
iptables -t nat -F
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Разрешим поддерживать уже установленные соединения (состояния соединений RELATED,ESTABLISHED)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p all -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p all -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#Разрешим общение для локальной петли (интерфейс lo)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Разрешаем ICMP пакеты
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
#Включаем фрагментацию пакетов. надо изза разных значений MTU
iptables -i FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#Отбрасывать все пакеты, которые не могут быть идент. и поэтому не имеют статуса.
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
#Приводит к связыванию системных ресурсов, и обмен данн. становиться невозможным
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

#Почта. внутр интерфейс
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.1.0/24 -p tcp -m tcp --sport 25 -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.1.0/24 -p tcp -m tcp --sport 110 -j ACCEPT
#Почта. внешн. интерфейс
#iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT #это для возможности отправлять из нета, используя наш почт сервер.
iptables -A OUTPUT -o eth1 -p tcp --sport 25 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 110 -j ACCEPT

############### Маршрутизация ##########################

#Для почты директора
iptables -A FORWARD -p tcp -s 192.168.1.33 -d 195.206.40.175 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 195.206.40.175 -d 192.168.1.33 --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.33 -d 195.206.40.175 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 195.206.40.175 -d 192.168.1.33 --sport 110 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.33 -d 195.206.40.175 -p tcp --dport 25 -j SNAT --to 88.88.88.88
iptables -t nat -A POSTROUTING -s 192.168.1.33 -d 195.206.40.175 -p tcp --dport 110 -j SNAT --to 88.88.88.88
####### Для банк-клиента ######
iptables  -A FORWARD -p tcp -s 192.168.1.7 -d  193.200.10.10 -j ACCEPT
iptables  -A FORWARD -p tcp -s 192.168.1.7 -d  193.200.10.18 -j ACCEPT
iptables  -A FORWARD -p tcp -s 192.168.1.7 -d  193.200.10.26 -j ACCEPT
iptables  -A FORWARD -p tcp -s 192.168.1.7 -d  193.200.10.40 -j ACCEPT
iptables  -A FORWARD -p tcp -s 192.168.1.7 -d  193.200.10.100 -j ACCEPT
iptables  -A FORWARD -p tcp -s 192.168.1.7 -d  195.206.47.194 -j ACCEPT
iptables  -A FORWARD -p tcp -s 192.168.1.7 -d  194.84.16.64 -j ACCEPT
#
iptables  -A FORWARD -p tcp -s 193.200.10.10 -d 192.168.1.7 -j ACCEPT
iptables  -A FORWARD -p tcp -s 193.200.10.18 -d 192.168.1.7 -j ACCEPT
iptables  -A FORWARD -p tcp -s 193.200.10.26 -d 192.168.1.7  -j ACCEPT
iptables  -A FORWARD -p tcp -s 193.200.10.40 -d 192.168.1.7  -j ACCEPT
iptables  -A FORWARD -p tcp -s 193.200.10.100 -d 192.168.1.7  -j ACCEPT
iptables  -A FORWARD -p tcp -s 195.206.47.194 -d 192.168.1.7  -j ACCEPT
iptables  -A FORWARD -p tcp -s 194.84.16.64 -d 192.168.1.7 -j ACCEPT
#
iptables -t nat -A POSTROUTING -s 192.168.1.7 -d 193.200.10.10 -p tcp -j SNAT --to 192.206.53.98
iptables -t nat -A POSTROUTING -s 192.168.1.7 -d 193.200.10.18 -p tcp -j SNAT --to 88.88.88.88
iptables -t nat -A POSTROUTING -s 192.168.1.7 -d 193.200.10.26 -p tcp -j SNAT --to 88.88.88.88
iptables -t nat -A POSTROUTING -s 192.168.1.7 -d 193.200.10.40 -p tcp -j SNAT --to 88.88.88.88
iptables -t nat -A POSTROUTING -s 192.168.1.7 -d 193.200.10.100 -p tcp -j SNAT --to 88.88.88.88
iptables -t nat -A POSTROUTING -s 192.168.1.7 -d 195.206.47.194 -p tcp -j SNAT --to 88.88.88.88
iptables -t nat -A POSTROUTING -s 192.168.1.7 -d 194.84.16.64 -p tcp -j SNAT --to 88.88.88.88

############### Маршрутизация ######################

#Весь траффик из вн.сети пускаем на сквид
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT

#запрещаем доступ снаружи во внутр.сеть
iptables -A FORWARD -i eth1 -o eth0 -j REJECT
#Маскарадинг
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 88.88.88.88
#для ВПН
iptables -t nat -A POSTROUTING -o tap+  -j SNAT --to 88.88.88.88

#Блокируем все и вся
#iptables -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options
#iptables -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
#iptables -A FORWARD -o eth1 -p tcp -j DROP
на фре ipfw это было организовано так

# BOSS MAIL DIRECT
${fwcmd} add 810 divert natd ip from 195.168.1.33 to 195.206.40.175 out xmit rl1
${fwcmd} add allow ip from 192.168.1.33 to 195.206.40.175
${fwcmd} add allow ip from 195.206.40.175 to 192.168.1.33
# BOSS MAIL DIRECT

##Bank-Klient - finance
${fwcmd} add allow ip from 192.168.1.7 to 195.206.47.194
${fwcmd} add allow ip from 195.206.47.194 to 192.168.1.7
${fwcmd} add allow ip from 192.168.1.7 to 193.200.10.10
${fwcmd} add allow ip from 193.200.10.10 to 192.168.1.7
${fwcmd} add allow ip from 192.168.1.7 to 193.200.10.18
${fwcmd} add allow ip from 193.200.10.18 to 192.168.1.7
${fwcmd} add allow ip from 192.168.1.7 to 193.200.10.26
${fwcmd} add allow ip from 193.200.10.26 to 192.168.1.7
${fwcmd} add allow ip from 192.168.1.7 to 193.200.10.40
${fwcmd} add allow ip from 193.200.10.40 to 192.168.1.7
${fwcmd} add allow ip from 192.168.1.7 to 193.200.10.100
${fwcmd} add allow ip from 193.200.10.100 to 192.168.1.7
${fwcmd} add allow ip from 192.168.1.7 to 194.84.16.64/29
${fwcmd} add allow ip from 194.84.16.64/29 to 192.168.1.7
Подскажите где я ошибся. 192.168.1.7 все равно кидает в сквид

kainitis
()

Postfix проблемы с транспортом

Форум — Admin

День добрый. При создании почтового сервера я столкнулся с проблемой получения почты с почтового сервера провайдера.

Требования с будущему серверу:
1. отправка и получение локальной почты(nti.irk.ru работает норм);
2. отправка/получение почты с сервера прова вида хххxx@irk.ru.
По 1-му пункту , осталось заблокировать отправку наружу, подскажите как?
С пунктом 2 проблемы следующего типа:
- отправка идет мимо сервера прова(это и прохо и хорошо) чем это мне может грозить?
- не могу настроить прием почты.

Было установлено Debian, postfix+dovecot+sals+mysql+smapassassin. Настраивал по статье Ссылка

main.cf

myhostname = proxy.nti.local
mydestination = nti.irk.ru, irk.ru, localhost.nti.local, localhost
relay_domains =
relayhost =
#masquerade_domains = irk.ru
#Тут перечислены адреса сетей которым разрешено отправлять почту с вашего сервера
mynetworks = 127.0.0.0/8 192.168.1.0/24
message_size_limit = 30720000
strict_rfc821_envelopes = yes
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
virtual_mailbox_base = /home/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = no
broken_sasl_auth_clients = no
smtpd_sasl_authenticated_header = no
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_use_tls = no
virtual_create_maildirsize = yes
virtual_maildir_extended = yes
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $virtual_transport_maps $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
транспортная таблица в скуле имеет вид
			irk.ru	smtp:[195.206.40.175]
			nti.irk.ru	:

kainitis
()

RSS подписка на новые темы