unixforum.org

Здравствуйте первый раз настраиваю Proxy в Linux(OpenSUSE) через WebAdmin! И всё в роде хорошо прокси работает а вот с почтой беда! Начитался в поиске, что почту настраивают в обход прокси с помощью NAT, но у самого сделать это не получается. Бьюсь неделю. Расскажите пожалуйста по подробнее как это сделать.

Мне требуется:
Настроить почту на порт 995 но чтобы доступ к www/ftp напрямую был закрыт то есть доступ к этим протоколам был возможен только через прокси !

DoDoge писал(а): ↑

29.04.2008 12:45

Здравствуйте первый раз настраиваю Proxy в Linux(OpenSUSE) через WebAdmin! И всё в роде хорошо прокси работает а вот с почтой беда! Начитался в поиске, что почту настраивают в обход прокси с помощью NAT, но у самого сделать это не получается. Бьюсь неделю. Расскажите пожалуйста по подробнее как это сделать.

Мне требуется:
Настроить почту на порт 995 но чтобы доступ к www/ftp напрямую был закрыт то есть доступ к этим протоколам был возможен только через прокси !

Заранее спасибо!

1. Для почты:
указываете
INTIF="внутренний интерфейс"
EXTIF="внешний интерфейс"
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTIF -o $EXTIF -p tcp --dport pop3s -j ACCEPT
iptables -A FORWARD -i $INTIF -o $EXTIF -p udp --dport pop3s -j ACCEPT

Вы случайно не ПС "Contact" выпустить хотите?

Насчет ftp не совсем понятно?

Я полагаю это переменные где $INTIF локалка, а $EXTIF IP второй сетевой платы (выход в инет)

Вы случайно не ПС "Contact" выпустить хотите? --- нет Outlook

Насчет ftp не совсем понятно? --- это не слтоль важно как закрыть www чтобы трафик не жгли не разрешёнными сайтами

Вот что пишет:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:995
ACCEPT udp -- anywhere anywhere udp dpt:995

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Но почта не работает!

DoDoge писал(а): ↑

29.04.2008 13:49

Вот что пишет:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:995
ACCEPT udp -- anywhere anywhere udp dpt:995

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Но почта не работает!

это не забыли сделать echo 1 > /proc/sys/net/ipv4/ip_forward

Забыл! дописал в терминале но не работает всё равно

DoDoge писал(а): ↑

29.04.2008 14:07

Забыл! дописал в терминале но не работает всё равно

Проверьте настройки шлюза на клиентской машине. И таблицу маршрутизации на самом шлюзе.

Как проверить таблицу маршрутизации на самом шлюзе.
Если у меня вторая сетевая которая выходит в инет 192.168.0.138 надо настроить --- в настройках сетевой на неё шлюз или на прокси 192,168,1,1

DoDoge писал(а): ↑

29.04.2008 14:12

Как проверить таблицу маршрутизации на самом шлюзе.
Если у меня вторая сетевая которая выходит в инет 192.168.0.138 надо настроить --- в настройках сетевой на неё шлюз

Тогда поставим вопрос по другому, привидите таблицу маршрутизации шлюза и сетевые настройки клиента
1. Таблицу маршрутизации с шлюза команда route
2. Настройки клиента ipconfig (если Windows), ifconfig если Linux/Unix

Шлюз: route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth3
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
link-local * 255.255.0.0 U 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
default server.mshome.n 0.0.0.0 UG 0 0 0 eth1

Клиент: ifconfig
eth0 Link encap:Ethernet HWaddr 00:19:21:36:33:5D
inet addr:192.168.1.159 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::219:21ff:fe36:335d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:53745 errors:0 dropped:0 overruns:0 frame:0
TX packets:39296 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:57315112 (54.6 Mb) TX bytes:16805794 (16.0 Mb)
Interrupt:19 Base address:0xe000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:123 errors:0 dropped:0 overruns:0 frame:0
TX packets:123 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8147 (7.9 Kb) TX bytes:8147 (7.9 Kb

1. Если server.mshome.n это шлюз провайдера или какого-либо Вашего роутера (ADSL-модема), то похоже на правду.
2. Не совсем понял относительно ifconfig, так как Вы говорите про Отлук, а даете настройки сетевого интерфейса в Linux.

В любом случае следующий минимальный для работы набор:
1. На шлюзе
192.168.1.0 * 255.255.255.0 U 0 0 0 eth3
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
default <шлюз провайдера, ADSL модем и т.д.> 0.0.0.0 UG 0 0 0 eth1
2. На клиенте (под Linux)
192.168.1.0 * 255.255.255.0 U 0 0 0 <локальный сетевой интерфейс>
default <адрес внутреннего интерфейса вашего шлюза> 255.255.255.0 U 0 0 0 <сетевой интерфейс>
Под Windows
В свойствах сетевого подключения указать <адрес вашего шлюза>.

Так же рекомендую проверить сделать ping 213.180.204.8 с шлюза и клиента на случай если не прописаны DNS.

В тестовых целях вторая машина (локалка ) тоже на линухе я думаю если она заработает то с windows проблем не должно быть.
Сейчас попробую

Ping c linuxa не проходит

Не совсем понял что мне делать (я понимаю в твоих глазах туплю)

DoDoge писал(а): ↑

29.04.2008 14:56

В тестовых целях вторая машина (локалка ) тоже на линухе я думаю если она заработает то с windows проблем не должно быть.
Сейчас попробую

Ping c linuxa не проходит

Не совсем понял что мне делать (я понимаю в твоих глазах туплю)

А с шлюза пинг проходит?
Если проходит тогда, тогда смотри таблицу маршрутизации на клиенте, там должен быть прописан, шлюзом Ваш локальный шлюз.

С шлюза проходит!

DoDoge писал(а): ↑

29.04.2008 15:09

С шлюза проходит!

1. Проверить пингуется ли Сам шлюз.
2. Проверить таблицу маршрутизации клиента (шлюз по-умолчанию должен быть Ваш локальный шлюз)

Ping 192.168.1.1 идёт (выход в локалку)
Ping 192.168.0.138 идёт (на этом адресе прокси SQUID он разруливает инет)


таблица маршрутизации клиента
route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0

Необходимо сделать NAT.

iptables -t nat -A POSTROUTING -j SNAT -p tcp --to-source $EXTIP:30000-35000
iptables -t nat -A POSTROUTING -j SNAT -p udp --to-source $EXTIP:30000-35000

или вот так

iptables -t nat -A POSTROUTING -j SNAT --to-source $EXTIP

где $EXTIP - внешний адрес шлюза в вашем случае 192.168.0.138
это делается на шлюзе

пишет
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.138:30000-35000
iptables v1.3.8: Need TCP or UDP with port specification
Try `iptables -h' or 'iptables --help' for more information.

DoDoge писал(а): ↑

29.04.2008 15:42

пишет
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.138:30000-35000
iptables v1.3.8: Need TCP or UDP with port specification
Try `iptables -h' or 'iptables --help' for more information.

Исправил

К сожалению не заработала почта, Идеи ещё есть где у меня косяк, а то я за неделю с адресацией этой высох.

iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT tcp -- anywhere anywhere to:192.168.0.138:30000-35000
SNAT udp -- anywhere anywhere to:192.168.0.138:30000-35000

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Может нужен PREROUTING какой нибудь

DoDoge писал(а): ↑

29.04.2008 15:53

К сожалению не заработала почта, Идеи ещё есть где у меня косяк, а то я за неделю с адресацией этой высох.

Стоп лучше сделать второй вариант, то есть iptables -t nat -A POSTROUTING -j SNAT --to-source $EXTIP, предварительно очистив таблицу nat.
Для этого iptables -F POSTROUTING -t nat
попробовать пропинговать 213.180.204.8.
разбираться дальше

Сделал:
iptables -F POSTROUTING -t nat

iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.138

Почта не работает

Ping идёт

DoDoge писал(а): ↑

29.04.2008 16:00

Сделал:
iptables -F POSTROUTING -t nat

iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.138

Почта не работает

Ping идёт

теперь попробовать сделать ping www.ya.ru, если ping не пройдет значит разбираться с DNS.

Нет пишет: Неизветный узел

DoDoge писал(а): ↑

29.04.2008 16:08

Нет пишет: Неизветный узел

Организовывать работу с DNS.
Варианты:
1. Тупо прописать DNSы провайдера на клиентах.
2. Поднять DNS сервер и настроить форвардинг раздать его через DHCP.
3. Если есть домен, то на DNS сервере домена настроить форвардинг.

В любом случае это вопрос вне этой ветки.

Тупо прописать DNSы провайдера на клиентах

-- сделал получил --

Почта работает но если в браузере снять галки использовать прокси то он лезит на прямую без запроса авторизации!

DoDoge писал(а): ↑

29.04.2008 16:22

Тупо прописать DNSы провайдера на клиентах

-- сделал получил --

Почта работает но если в браузере снять галки использовать прокси то он лезит на прямую без запроса авторизации!

Потому, что у Вас таким образом настроены правила iptables. Рекомендую погуглить и изучить подходы к настройке iptables. Статей по данному вопросу вполне достаточно.

А как разрешить только порты pop3s, а все остальные запретить? Возможно ли это.

DoDoge писал(а): ↑

29.04.2008 16:39

А как разрешить только порты pop3s, а все остальные запретить? Возможно ли это.

DoDoge, пиши в асю помогу.

Спасибо Маслов Д. А.