https://opennet.dev/openforum/vsluhforumID1/85157.html Всем привет, нужна помощь не могу никак разобраться с фаэрволом в CentOS 5.2..<br>есть сервак с выделеным каналом, инетом, почтой,,,<br>Что нужно сделать:<br>Что бы пользователи могли пользоваться своей внешней почтой типа mail.ru yandex.ru<br>и получать/отправлять письма, я так понимаю что у меня на серваке заблокированы порты,,, <br>Для этого в rc.firewall прописал правила<br><br>$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 25 -j DNAT --to-destination 194.67.57.226:25<br>$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 110 -j DNAT --to-destination 194.67.57.226:110<br><br>Где 192,9,100,254 - это моя прокся<br> 194.67.57.226 - это Mail.ru<br><br>Ничего не помогло, не соединяется с сервером,,,<br>Прощу помощи, уже второй день ковыряюсь и все безтолку,<br>Заранее всем спасибо<br><br> https://opennet.dev/openforum/vsluhforumID1/85157.html#12 Wed, 06 May 2009 12:30:54 GMT Нужно было дописать к моему конфигу это<br><br>$ipt -A FORWARD -p tcp -s 192.9.100.0/24 --dport 110 -j ACCEPT<br>$ipt -A FORWARD -p udp -s 192.9.100.0/24 --dport 53 -j ACCEPT<br><br>Всем спасибо за помощь <br><br><br> https://opennet.dev/openforum/vsluhforumID1/85157.html#11 Wed, 06 May 2009 10:33:36 GMT &gt;читаю читаю и все больше понемаю что автор пишет о том о <br>&gt;чем понятия неимеит. <br>&gt;Есть замечательная руская дока вот http://www.opennet.ru/docs/RUS/iptables/ обезательно прочитайте это первое.<br><br>Обязательно прочитаю<br> <br>&gt;второе как уже сдесь писали создайте скрипт назавите его rc.firewall поместим его <br>&gt;в /etc/rc.d/ напиши туда <br><br>Есть такой файл<br><br>Спасибо! будем изучать<br><br> https://opennet.dev/openforum/vsluhforumID1/85157.html#10 Wed, 06 May 2009 10:27:20 GMT читаю читаю и все больше понемаю что автор пишет о том о чем понятия неимеит.<br>Есть замечательная руская дока вот http://www.opennet.ru/docs/RUS/iptables/ обезательно прочитайте это первое.<br>второе как уже сдесь писали создайте скрипт назавите его rc.firewall поместим его в /etc/rc.d/ напиши туда<br><br>!/bin/sh <br><br>#это значение можно один рза поставить в /etc/sysctl.conf в директиве net.ipv4.ip_forward = 1 так будет проще или используй вот так <br><br>echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br><br><br>#тут подгружаем модули каторые нужны замечу что ip_nat_pptp нужен для впн связи через #тебя остальные можеш убирать или дабавлять по вкусу.<br><br><br>/sbin/depmod -a<br><br>/sbin/modprobe ip_tables<br>/sbin/modprobe ip_conntrack<br>/sbin/modprobe iptable_filter<br>/sbin/modprobe iptable_mangle<br>/sbin/modprobe iptable_nat <br>/sbin/modprobe ipt_LOG <br>/sbin/modprobe ipt_limit <br>/sbin/modprobe ipt_state <br>/sbin/modprobe ipt_REJECT <br>/sbin/modprobe ip_conntrack_ftp<br>/sbin/modprobe i https://opennet.dev/openforum/vsluhforumID1/85157.html#9 Wed, 06 May 2009 09:41:30 GMT В этих правилах нет смыла IMHO:<br><br>&gt;$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 8025 -j<br>&gt;DNAT --to-destination 80.247.184.198:25<br>&gt;$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 8110 -j<br>&gt;DNAT --to-destination 80.247.184.198:110<br>&gt;$ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.84 -d 80.247.184.198 --dport<br>&gt;110 -j ACCEPT<br>&gt;$ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.84 -d 80.247.184.198 --dport<br>&gt;25 -j ACCEPT <br><br>Почему нет,,, без этих правил у меня прога для бухгалтеров не работает...<br>конечно может и по другому можно прописать,,,<br> https://opennet.dev/openforum/vsluhforumID1/85157.html#8 Wed, 06 May 2009 09:33:51 GMT &gt;&gt;Все примеры уже написали. Если нужно больше приведи исходные данные, интерфейсы, адреса, <br>&gt;&gt;текущие настройки фаервола <br>&gt;<br>&gt;192.9.100.254-прокси <br>&gt;62,16,108,188- ip внешний <br>&gt;Вот мой конфиг rc.firewall <br>&gt;<br>&gt;ipt="/sbin/iptables" <br>&gt;EXTIF="eth0" <br>&gt;INTIF="eth1" <br><br>Если в другом скрипте нет сброса фаервола в исходное состояние, то добавить<br># разрешить форвардинг<br>echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br># Очистка всех правил<br>$ipt -F<br>$ipt -t nat -F<br># политики по умолчанию<br>$ipt -P INPUT DROP<br>$ipt -P OUTPUT ACCEPT<br>$ipt -P FORWARD DROP<br># Разрешить входящие из докальной сети<br><br>$ipt -A INPUT -i $INTIF -s 192.9.100.0/24 -j ACCEPT<br><br><br>&gt;[оверквотинг удален]<br>&gt;$ipt -A INPUT -i $EXTIF -p tcp --dport 110 -j ACCEPT <br>&gt;$ipt -A INPUT -i $EXTIF -p tcp --dport 443 -j ACCEPT <br>&gt;$ipt -A INPUT -i $EXTIF -p tcp --dport 1723 -j ACCEPT <br>&gt;$ipt -A INPUT -i $EXTIF -p tcp --dport 64000:65500 -j ACCEPT <br>&gt;$ipt -A INPUT -i $EXTIF -p tcp --dport 20:21 -j ACCEPT <br>&gt;<br>&gt;<br>&gt;<br>&gt;$ipt -t nat -A POSTROUTING -s 192.9.100.0/24 -o $E https://opennet.dev/openforum/vsluhforumID1/85157.html#7 Wed, 06 May 2009 09:00:46 GMT &gt;Все примеры уже написали. Если нужно больше приведи исходные данные, интерфейсы, адреса, <br>&gt;текущие настройки фаервола <br><br>192.9.100.254-прокси<br>62,16,108,188- ip внешний<br>Вот мой конфиг rc.firewall<br><br>ipt="/sbin/iptables"<br>EXTIF="eth0"<br>INTIF="eth1"<br><br>$ipt -A INPUT -s mail.npt.ru -j DROP<br><br><br>$ipt -A INPUT -i $EXTIF -p tcp --dport 4550 -j ACCEPT<br>$ipt -A INPUT -i $EXTIF -p tcp --dport 80 -j ACCEPT<br>$ipt -A INPUT -i $EXTIF -p tcp --dport 25 -j ACCEPT<br>$ipt -A INPUT -i $EXTIF -p tcp --dport 110 -j ACCEPT<br>$ipt -A INPUT -i $EXTIF -p tcp --dport 443 -j ACCEPT<br>$ipt -A INPUT -i $EXTIF -p tcp --dport 1723 -j ACCEPT<br>$ipt -A INPUT -i $EXTIF -p tcp --dport 64000:65500 -j ACCEPT<br>$ipt -A INPUT -i $EXTIF -p tcp --dport 20:21 -j ACCEPT<br><br><br><br>$ipt -t nat -A POSTROUTING -s 192.9.100.0/24 -o $EXTIF -j SNAT --to 62.16.108.188<br>$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 8025 -j DNAT --to-destination 80.247.184.198:25<br>$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 8110 -j DNAT --to-destination 80 https://opennet.dev/openforum/vsluhforumID1/85157.html#6 Wed, 06 May 2009 08:45:23 GMT &gt;[оверквотинг удален]<br>&gt;DNAT --to-destination 194.67.57.226:110 <br>&gt;$ipt -A FORWARD -p tcp --dport 25 -s $localnet -j ACCEPT <br>&gt;$ipt -A FORWARD -p tcp --dport 110 -s $localnet -j ACCEPT <br>&gt;<br>&gt;<br>&gt;Ничего не получилось, Честно говорю с фаэрволом столкнулся в первый раз, поэтому <br>&gt;все что вы пишите для меня дико, пытался доки читать но <br>&gt;чувствую уйдет минимум неделя что б разобраться)))) <br>&gt;Так что прошу если не сложно приведите пример, очень нужно срочно,,,, <br>&gt;Заранее спасибо <br><br>Все примеры уже написали. Если нужно больше приведи исходные данные, интерфейсы, адреса, текущие настройки фаервола<br> https://opennet.dev/openforum/vsluhforumID1/85157.html#5 Wed, 06 May 2009 08:36:10 GMT $ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 25 -j DNAT --to-destination 194.67.57.226:25<br>$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 110 -j DNAT --to-destination 194.67.57.226:110<br>$ipt -A FORWARD -p tcp --dport 25 -s $localnet -j ACCEPT <br>$ipt -A FORWARD -p tcp --dport 110 -s $localnet -j ACCEPT <br><br>Ничего не получилось, Честно говорю с фаэрволом столкнулся в первый раз, поэтому все что вы пишите для меня дико, пытался доки читать но чувствую уйдет минимум неделя что б разобраться))))<br>Так что прошу если не сложно приведите пример, очень нужно срочно,,,,<br>Заранее спасибо<br><br> https://opennet.dev/openforum/vsluhforumID1/85157.html#4 Wed, 06 May 2009 08:15:45 GMT &gt;&gt;use -j SNAT --to-source=your.real.ip instead. <br>&gt;<br>&gt;Я так понимаю прописать правило нужно так <br>&gt;$ipt -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source=my <br>&gt;ip <br><br>да, причем eth0 это внешний интерфейс<br>кроме того пропиши<br>iptables -A FORWARD -p tcp --dport 25 -s $localnet -j ACCEPT<br>iptables -A FORWARD -p tcp --dport 110 -s $localnet -j ACCEPT<br><br>