Помогите..с переброской порта в локалку

Автор: Otis Дата: 04.01.2005 12:02 Имеется шлюз на ASP9.2
в лок.сети на адресе 10.0.0.200 стоит почтовик
как перебросить все взодящие с внешки по порту 25-110 на этот почтовик
Заранее спасибо
Re: Помогите..с переброской порта в локалку 05.01.2005 01:53XMan Во-первых, что снаружи делает 110 порт ?

Во-вторых, два способа:

a) когда на внешней машине имеется почтовик - построить его на перенаправление нужного домена на внутренний почтовик. Настройка зависит от того, какой именно почтовик стоит снаружи

б) с помощью iptables - смотреть "man iptables" на предмет DNAT
Re: Помогите..с переброской порта в локалку 05.01.2005 10:22Otis на внешней машине почтовика нет..
а перебрасываю порты воттак
iptables -A FORWARD -p tcp -m multiport --destination-port 25,110 -s 10.0.0.200/24 -j ACCEPT
ноа почта не приходит..
Re: Помогите..с переброской порта в локалку 06.01.2005 07:39XMan Ты внимательно прочитал моё сообщение ? Не наблюдаю в твоем правиле DNAT-а.

Скажу по секрету - это правило никогда не сработает. Этим правилом ты разрешаешь пакетам, адресованным 10.0.0.200, проходить через твою машину. А теперь вопрос - как ты думаешь, сколько в мире сетей с адресами 10.0.0.0/8 ? И соответственно, сколько в мире машин с адресами 10.0.0.200 ? Это я к тому, что никто никогда не увидит снаружи твоего внутреннего сервера. Даже знать о нем не будет. Другими словами, снаружи никогда не прийдет пакет, адресованный к 10.0.0.200, если не считать ошибок сети и хацкеров.

Можешь для проверки этой теории включить логирование в этом правиле Улыбка


PS. Попробуешь DNAT - скажи о результатах. Помнится, я пару часов разбирался, отчего он не работает, пока не понял причины. Зато сейчас несколько удаленных внутренних win2k-серверов по службе терминалов аж со свистом Улыбка
Re: Помогите..с переброской порта в локалку 06.01.2005 11:54Otis Уважаемы Xman!!
я что то с Dnat не могу сладить если можно пример..
Re: Помогите..с переброской порта в локалку 06.01.2005 14:22Wapo iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 --syn -j DNAT --to-destination 192.168.0.5:110
Re: Помогите..с переброской порта в локалку 06.01.2005 23:00XMan to Wapo:

Во-первых, я так и не увидел ответа на вопрос - зачем 110 порт пробрасывать.

Во-вторых:
a) это нерабочее правило
б) его всё равно недостаточно Улыбка
Re: Помогите..с переброской порта в локалку 06.01.2005 23:30XMan Выглядеть оно должно примерно так:

# Врубаем DNAT
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.0.0.200
# Маскируем DNAT-нутые пакеты для внутренней сети
iptables -t nat -A POSTROUTING -d 10.0.0.200 -o eth0 -p tcp -m tcp --dport 25 -j SNAT --to-source какой_там_у_тебя_внутренний_адрес_внешнего_сервера

# Разрешаем входящие пакеты на 25 порт (если запрещены общей политикой; см. ниже)
iptables -A INPUT -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT
# Разрешаем форвард пакетов на 25 порт (если запрещены общей политикой; см. ниже)
iptables -A FORWARD -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT
# Разрешаем форвард ответов от внутреннего сервера (если запрещены общей политикой; см. ниже)
iptables -A FORWARD -s 10.0.0.200 -i eth0 -p tcp -m tcp --sport 25 -j ACCEPT

где: eth0 - внутренний интерфейс, eth1 - внешний интерфейс
"-m tcp" нужно для оригинального iptables из ASP 9.2. В обновленном он уже не обязателен, насколько я помню.
Всё это хозяйство поднималось на примерно таких настройках правил:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
Re: Помогите..с переброской порта в локалку 08.01.2005 11:09Wapo to XMan:

Для работы внутреннего почтовика тебе нужно с внешнего адреса перебросить входящие пакеты с портов 25 (SMTP) и 110 (POP3) на машинку с почтой.
Я написал одно правило для порта 110 - продолжи/измени его для себя и порта 25.
Ты не прав - правило работает. Тока нужно разрешить входящие на порты. Кроме того, исходящие с внутренней машинки-почтовика должны УХОДИТЬ в и-нет.
Так что ВСЕ прекрасно работает.
Кстати. В пред.примере указаны разрешения для INPUT и FORWARD цепочек. Так вот - цепочка FORWARD независима от INPUT - если просто разрешить FORWARD - значит INPUT и не требуется (если тока не политика по умолчанию DROP).
Re: Помогите..с переброской порта в локалку 09.01.2005 03:25XMan to Wapo:

> Для работы внутреннего почтовика тебе нужно с внешнего адреса перебросить входящие
> пакеты с портов 25 (SMTP) и 110 (POP3) на машинку с почтой.

Вот мне и непонятно на кой пробрасывать наружу порт POP3 ? Чтобы народ снаружи мог забирать почту с внутреннего сервера ? Мало вероятно, что вопрошающему это нужно.

> Ты не прав - правило работает.

Интересно как, если ты только SYN-пакет пробрасываешь ? Остальные-то отправляются по умолчательному пути Улыбка
В этом случае даже соединение не установится - пакет-подтверждение SYN_ACK может даже и уйдет клиенту, а вот ответ на него ACK уже не прийдет.
Если же оно работает, что это означает только "дырку" в правилах iptables. Умышленную или нет - это уже не мне решать.

> (если тока не политика по умолчанию DROP).

Так она как раз DROP. Я ж ниже нарисовал примерную конфигурацию остальной части правил.

PS. А вообще всё это нужно не мне, а Otis-у. У меня оно и так работает на нескольких серверах.
Re: Помогите..с переброской порта в локалку 10.01.2005 08:26Otis Спасибо ..всем.. оч помогли..
RSS-материал