Решено: suse squid bat

[Brabashka]

Здравствуйте.

Не работает Bat (почтовый клиент). Весь трафик через squid на suse 11.1. Что делать?

[oper777]

Пустите почтовый трафик в обход прокси.

[Brabashka]

Как сделать? Это наверное надо через iptables делать? Не подскажите какие цепочки, пример какой-нибудь? Я плоховат в этом.

[oper777]

Как сделать? Это наверное надо через iptables делать? Не подскажите какие цепочки, пример какой-нибудь? Я плоховат в этом.

как-то так:

Код: Выделить всё

iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

[arkhnchul]

гугль на тему iptables tutorial...
вообще что-то вроде iptables -A POSTROUTING -t nat -p tcp -m multiport --dports 110,25 -s 192.168.0.0/24 -j MASQUERADE. Как-то примерно так...

[Brabashka]

как проверить, что записано в цепочке POSTROUTING?

[Brabashka]

следующее сделал.

iptables -t nat -A POSTROUTING -p tcp -m multiport --dports 110,25 -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

Что-то не работает. Можно посмотреть как пакет движется через цепочки? Может быть из-за DNS (нету или не работает)?

[butch]

iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

ага. и наслаждаться гигантским трафом от спамботов внутри сети =)
на смтп сделайте ограничение - определнный хост или группу.
и добавьте на всякий случай -j LOG правило перед разрешающим чтобы потом быстро выяснить кто спамит в вашей сети.

[Brabashka]

Результат работы команды iptables-save

Код: Выделить всё

# Generated by iptables-save v1.4.2-rc1 on Tue Dec  2 05:12:17 2008
*raw
:PREROUTING ACCEPT [2674:2493567]
:OUTPUT ACCEPT [2334:1333138]
-A PREROUTING -i lo -j NOTRACK
-A OUTPUT -o lo -j NOTRACK
COMMIT
# Completed on Tue Dec  2 05:12:17 2008
# Generated by iptables-save v1.4.2-rc1 on Tue Dec  2 05:12:17 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3:120]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
-A INPUT -i eth0 -j input_int
-A INPUT -i eth1 -j input_ext
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -j forward_int
-A FORWARD -i eth1 -j forward_ext
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-OUT-ERROR " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -m pkttype --pkt-type multicast -j DROP
-A forward_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A forward_ext -j DROP
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_int -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -m pkttype --pkt-type multicast -j DROP
-A forward_int -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A forward_int -j reject_func
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -s 10.57.8.0/24 -p tcp -m tcp --dport 25 -m state --state NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 10.57.8.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
-A input_ext -s 10.57.8.0/24 -p tcp -m tcp --dport 110 -m state --state NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 10.57.8.0/24 -p tcp -m tcp --dport 110 -j ACCEPT
-A input_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-INext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -j ACCEPT
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Tue Dec  2 05:12:17 2008

КУДА здесь (в какую цепочку) добавить выше указанные команды? forward_int ? forward_ext ?

[Brabashka]

Не знаю что делать.
Проверил /proc/sys/net/ipv4/ip_forward стоить 1 значит форвардинг включон.
Перепробовал возможные команды, не помогает. Все равно не работает. Может кто часть конфига покажет как у него локалка в инет выходить? Блин, уже совсем замучился.

[danger08]

Перепробовал возможные команды, не помогает. Все равно не работает. Может кто часть конфига покажет как у него локалка в инет выходить?

Общий совет - переписать набор правил с нуля, а то там такая мешанина у вас. Добавлять туда новые правила - только сумятицу вносить.

Все же, попробуйте наподобие:

Код: Выделить всё

iptables -A forward_ext -p tcp --dport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A forward_ext -p tcp --dport 110 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A forward_ext -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -A forward_ext -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT

Насчет конструкции NAT, которую вы пытаетесь использовать, вообще неясно - нужно ли (других правил NAT у вас нет).

[butch]

чтобы локалка ходила в инет, скорее всего понадобится правило в форвард и правило снат.

1) iptables -t nat -A POSTROUTING -p tcp -m multiport --dports 110,25 -s 192.168.0.0/24 -j MASQUERADE
2) iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
3) iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

вот посмотрим на ваш первый пример (листинг правил не осилил с кучами отдельных правил для установленных соединений. объедините их уже!)
1) - отлично. сделали маскарад для двух нужных портов. все замечательно кажется
2) в форвард зачем то добавили правило, разрешающее проходящие пакеты с SOURCE портом 110.
3) все правильно.

а щас я воспользуюсь телепатией.
итак, вы думаете, ага, смтп - это отправка. значит от нас куда то идут данные. значит должно быть правило с дпорт.
а поп - это прием! и значит от кого то будут идти данные к нам.

и думаете вы кнчно логически. но не верно!

соединение в данном случае всегда будет устанавливать клиент, а не сервер. а значит в правилах ваших должно быть dport!
и по какой причине в маскараде вы указали дпорт, а в форвард спорт? =)

[danger08]

Мое мнение, правильнее написать набор правил с нуля (если не используется сторонних скриптов, формирующих правила, или биллинговых систем типа traffpro).

Автор, опишите структуру вашей сети, каким образом коннектитесь к провайдеру и что в конечном счете нужно получить - и вам помогут составить правила, без лишней лабуды, что у вас сейчас в конфиге.

А то мы занимаемся гаданием на кофейной гуще, не зная толком, что у вас там в сети.

[Brabashka]

Где-то видел кто-то прописывал эти правила в rc.firewall. У меня файрвол стоит. Может в его конфиге надо эти команды записть? Может подскажите, где в suse для это rc.firewall, а то я найти не могу его. Тема кажись называлась "Решено: помощь с rc.firewall"

[Olegator]

Народ Вы чего? в suse правилами управляет не iptables, а susefirewall. нужно смотреть cat /etc/sysconfig/SuSEfirewall2

все настройки iptables будут всёравно перетёрты правилами SuSEfirewall2, как настраивать SuSEfirewall2 читаем здесь Статья по базовой настройке SuSEfirewall2

[Brabashka]

Спасибо всем, ЗАРАБОТАЛО!
Кликнул маскарадинг в файрволе через яст и прописалось в iptables'e в цепочке POSTROUTING нужная команда.