Решено: suse squid bat
Модератор: SLEDopit
Решено: suse squid bat
Здравствуйте.
Не работает Bat (почтовый клиент). Весь трафик через squid на suse 11.1. Что делать?
Не работает Bat (почтовый клиент). Весь трафик через squid на suse 11.1. Что делать?
Re: Решено: suse squid bat
Пустите почтовый трафик в обход прокси.
Re: Решено: suse squid bat
Как сделать? Это наверное надо через iptables делать? Не подскажите какие цепочки, пример какой-нибудь? Я плоховат в этом.
Re: Решено: suse squid bat
как-то так:
Код: Выделить всё
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
Re: Решено: suse squid bat
гугль на тему iptables tutorial...
вообще что-то вроде iptables -A POSTROUTING -t nat -p tcp -m multiport --dports 110,25 -s 192.168.0.0/24 -j MASQUERADE. Как-то примерно так...
вообще что-то вроде iptables -A POSTROUTING -t nat -p tcp -m multiport --dports 110,25 -s 192.168.0.0/24 -j MASQUERADE. Как-то примерно так...
Losing is fun!
Re: Решено: suse squid bat
как проверить, что записано в цепочке POSTROUTING?
Re: Решено: suse squid bat
следующее сделал.
iptables -t nat -A POSTROUTING -p tcp -m multiport --dports 110,25 -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
Что-то не работает. Можно посмотреть как пакет движется через цепочки? Может быть из-за DNS (нету или не работает)?
iptables -t nat -A POSTROUTING -p tcp -m multiport --dports 110,25 -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
Что-то не работает. Можно посмотреть как пакет движется через цепочки? Может быть из-за DNS (нету или не работает)?
Re: Решено: suse squid bat
ага. и наслаждаться гигантским трафом от спамботов внутри сети =)
на смтп сделайте ограничение - определнный хост или группу.
и добавьте на всякий случай -j LOG правило перед разрешающим чтобы потом быстро выяснить кто спамит в вашей сети.
Re: Решено: suse squid bat
Результат работы команды iptables-save
КУДА здесь (в какую цепочку) добавить выше указанные команды? forward_int ? forward_ext ?
Код: Выделить всё
# Generated by iptables-save v1.4.2-rc1 on Tue Dec 2 05:12:17 2008
*raw
:PREROUTING ACCEPT [2674:2493567]
:OUTPUT ACCEPT [2334:1333138]
-A PREROUTING -i lo -j NOTRACK
-A OUTPUT -o lo -j NOTRACK
COMMIT
# Completed on Tue Dec 2 05:12:17 2008
# Generated by iptables-save v1.4.2-rc1 on Tue Dec 2 05:12:17 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3:120]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
-A INPUT -i eth0 -j input_int
-A INPUT -i eth1 -j input_ext
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -j forward_int
-A FORWARD -i eth1 -j forward_ext
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-OUT-ERROR " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -m pkttype --pkt-type multicast -j DROP
-A forward_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A forward_ext -j DROP
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_int -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -m pkttype --pkt-type multicast -j DROP
-A forward_int -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A forward_int -j reject_func
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -s 10.57.8.0/24 -p tcp -m tcp --dport 25 -m state --state NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 10.57.8.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
-A input_ext -s 10.57.8.0/24 -p tcp -m tcp --dport 110 -m state --state NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 10.57.8.0/24 -p tcp -m tcp --dport 110 -j ACCEPT
-A input_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-INext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -j ACCEPT
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Tue Dec 2 05:12:17 2008
КУДА здесь (в какую цепочку) добавить выше указанные команды? forward_int ? forward_ext ?
Re: Решено: suse squid bat
Не знаю что делать.
Проверил /proc/sys/net/ipv4/ip_forward стоить 1 значит форвардинг включон.
Перепробовал возможные команды, не помогает. Все равно не работает. Может кто часть конфига покажет как у него локалка в инет выходить? Блин, уже совсем замучился.
Проверил /proc/sys/net/ipv4/ip_forward стоить 1 значит форвардинг включон.
Перепробовал возможные команды, не помогает. Все равно не работает. Может кто часть конфига покажет как у него локалка в инет выходить? Блин, уже совсем замучился.
Re: Решено: suse squid bat
Общий совет - переписать набор правил с нуля, а то там такая мешанина у вас. Добавлять туда новые правила - только сумятицу вносить.
Все же, попробуйте наподобие:
Код: Выделить всё
iptables -A forward_ext -p tcp --dport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A forward_ext -p tcp --dport 110 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A forward_ext -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -A forward_ext -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT
Насчет конструкции NAT, которую вы пытаетесь использовать, вообще неясно - нужно ли (других правил NAT у вас нет).
Блогосайт - http://www.fateyev.com
Re: Решено: suse squid bat
чтобы локалка ходила в инет, скорее всего понадобится правило в форвард и правило снат.
вот посмотрим на ваш первый пример (листинг правил не осилил с кучами отдельных правил для установленных соединений. объедините их уже!)
1) - отлично. сделали маскарад для двух нужных портов. все замечательно кажется
2) в форвард зачем то добавили правило, разрешающее проходящие пакеты с SOURCE портом 110.
3) все правильно.
а щас я воспользуюсь телепатией.
итак, вы думаете, ага, смтп - это отправка. значит от нас куда то идут данные. значит должно быть правило с дпорт.
а поп - это прием! и значит от кого то будут идти данные к нам.
и думаете вы кнчно логически. но не верно!
соединение в данном случае всегда будет устанавливать клиент, а не сервер. а значит в правилах ваших должно быть dport!
и по какой причине в маскараде вы указали дпорт, а в форвард спорт? =)
вот посмотрим на ваш первый пример (листинг правил не осилил с кучами отдельных правил для установленных соединений. объедините их уже!)
1) - отлично. сделали маскарад для двух нужных портов. все замечательно кажется
2) в форвард зачем то добавили правило, разрешающее проходящие пакеты с SOURCE портом 110.
3) все правильно.
а щас я воспользуюсь телепатией.
итак, вы думаете, ага, смтп - это отправка. значит от нас куда то идут данные. значит должно быть правило с дпорт.
а поп - это прием! и значит от кого то будут идти данные к нам.
и думаете вы кнчно логически. но не верно!
соединение в данном случае всегда будет устанавливать клиент, а не сервер. а значит в правилах ваших должно быть dport!
и по какой причине в маскараде вы указали дпорт, а в форвард спорт? =)
Re: Решено: suse squid bat
Мое мнение, правильнее написать набор правил с нуля (если не используется сторонних скриптов, формирующих правила, или биллинговых систем типа traffpro).
Автор, опишите структуру вашей сети, каким образом коннектитесь к провайдеру и что в конечном счете нужно получить - и вам помогут составить правила, без лишней лабуды, что у вас сейчас в конфиге.
А то мы занимаемся гаданием на кофейной гуще, не зная толком, что у вас там в сети.
Автор, опишите структуру вашей сети, каким образом коннектитесь к провайдеру и что в конечном счете нужно получить - и вам помогут составить правила, без лишней лабуды, что у вас сейчас в конфиге.
А то мы занимаемся гаданием на кофейной гуще, не зная толком, что у вас там в сети.
Блогосайт - http://www.fateyev.com
Re: Решено: suse squid bat
Где-то видел кто-то прописывал эти правила в rc.firewall. У меня файрвол стоит. Может в его конфиге надо эти команды записть? Может подскажите, где в suse для это rc.firewall, а то я найти не могу его. Тема кажись называлась "Решено: помощь с rc.firewall"
Re: Решено: suse squid bat
Народ Вы чего? в suse правилами управляет не iptables, а susefirewall. нужно смотреть cat /etc/sysconfig/SuSEfirewall2
все настройки iptables будут всёравно перетёрты правилами SuSEfirewall2, как настраивать SuSEfirewall2 читаем здесь Статья по базовой настройке SuSEfirewall2
все настройки iptables будут всёравно перетёрты правилами SuSEfirewall2, как настраивать SuSEfirewall2 читаем здесь Статья по базовой настройке SuSEfirewall2
Re: Решено: suse squid bat
Спасибо всем, ЗАРАБОТАЛО!
Кликнул маскарадинг в файрволе через яст и прописалось в iptables'e в цепочке POSTROUTING нужная команда.
Кликнул маскарадинг в файрволе через яст и прописалось в iptables'e в цепочке POSTROUTING нужная команда.