[Comm] iptables

[Comm] iptables

[Шенцев Алексей Владимирович]

Всем привет. Пара вопросов.
1) Как в iptables разрешить пересылку почты, то есть forward по портам 25, 
110, 465,  995?
2) Как в iptables разрешить определённому пользователю прямой выход в инет?
-- 
С уважением, Шенцев Алексей (AShen)

Re: [Comm] iptables

[Serge Polkovnikov]

вівторок 25 жовтень 2005 16:18, Шенцев Алексей Владимирович Ви написали:
> Всем привет. Пара вопросов.
> 1) Как в iptables разрешить пересылку почты, то есть forward по портам 25,
> 110, 465,  995?
> 2) Как в iptables разрешить определённому пользователю прямой выход в инет?
Маловато информации...
Но вообще рекоммендую прочитать 
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
-- 
С уважением,
Сергей Полковников

Re: [Comm] iptables

[ABATAPA]

Вторник 25 Октябрь 2005 17:18, Шенцев Алексей Владимирович написал:
> 1) Как в iptables разрешить пересылку почты, то есть forward по портам 25,
> 110, 465,  995?
> 2) Как в iptables разрешить определённому пользователю прямой выход в инет?

Мда... Алексей, учитесь задавать вопросы. Где, как, что Вы хотите?! 
IPTables не занимается "пересылкой почты"! Что значит "forward по портам..."?! 
Откуда и куда, в какой конфигурации? Что значит "разрешить определённому 
пользователю прямой выход в инет"? И что значит "прямой выход"?
Алексей, если Вы не научитесь задавать вопросы правильно, то Вы не получите 
ответа.
-- 
ABATAPA

Re: [Comm] iptables

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 864 bytes --]

On Tue, Oct 25, 2005 at 05:18:00PM +0400, Шенцев Алексей Владимирович wrote:
> Всем привет. Пара вопросов.
> 1) Как в iptables разрешить пересылку почты, то есть forward по портам 25, 
> 110, 465,  995?
iptables -A FORWARD -s $YOUR_LAN_IP -d 0/0 --multiport --dport
25,110,465,995 -j ACCEPT

> 2) Как в iptables разрешить определённому пользователю прямой выход в инет?
аналагочино почте но для конкретного ip :)


С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"

--
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

<hiddenman> пипл, что в настоящее время лучше подойдем для intranet-овского сайта из CMS? смотрел все *nuke, drupal-ы всякие и прочее-прочее, что-то как-то не то все, больше похоже на обычный портал-помойку...
<combr> hiddenman: спроси у gvy. он скажет: typo3 ! ;)

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Comm] iptables

[Шенцев Алексей Владимирович]

В сообщении от Вторник 25 Октябрь 2005 17:39 Alexey Morsov написал(a):
> iptables -A FORWARD -s $YOUR_LAN_IP -d 0/0 --multiport --dport
> 25,110,465,995 -j ACCEPT
Алексей, iptables v 1.3.1 грит что '--multiport' неизвестный аргумент......... 
-- 
С уважением, Шенцев Алексей (AShen)

Re: [Comm] iptables

[Шенцев Алексей Владимирович]

В сообщении от Вторник 25 Октябрь 2005 18:07 Alexey Morsov написал(a):
> ну хоть man iptables /multiport бы сделали :(
> я ж не могу все это на память помнить...
> --multiport Замените на -m multiport
Дык сразу же и попробывал заменить, а мне в ответ: multiport needs '-p tcp' or 
'-p udp'......... а вот с ними как раз и запутался........
-- 
С уважением, Шенцев Алексей (AShen)

Re: [Comm] iptables

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 726 bytes --]

On Tue, Oct 25, 2005 at 05:50:05PM +0400, Шенцев Алексей Владимирович wrote:
> В сообщении от Вторник 25 Октябрь 2005 17:39 Alexey Morsov написал(a):
> > iptables -A FORWARD -s $YOUR_LAN_IP -d 0/0 --multiport --dport
> > 25,110,465,995 -j ACCEPT
> Алексей, iptables v 1.3.1 грит что '--multiport' неизвестный аргумент......... 
ну хоть man iptables /multiport бы сделали :(
я ж не могу все это на память помнить...
--multiport Замените на -m multiport


С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"

--
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

<Pilot> господа, кто живёт на севере России?
<thresh_> 12 км севернее москвы. считается?

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Comm] iptables

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 535 bytes --]

On Tue, Oct 25, 2005 at 06:06:29PM +0400, Шенцев Алексей Владимирович wrote:

> Дык сразу же и попробывал заменить, а мне в ответ: multiport needs '-p tcp' or 
> '-p udp'......... а вот с ними как раз и запутался........
а чего путаться - tcp


С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"

--
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru

<frob> hej
<ska-fan> привет переводчику Гнома
<raorn> и не только гнома...
<frob> и давно не переводчику =)

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

[Comm] iptables

[Шенцев Алексей Владимирович]

Привет всем.
Ввоожу правило для iptables (вроде правильно написал):
# iptables -A FORWARD -i eth0 -p tcp -m mport \ --dports 25,110,465,995 -j 
ACCEPT 
а мне в ответ:
iptables v1.3.1: Couldn't load match `mport':/lib/iptables/libipt_mport.so: 
cannot open shared object file: No such file or directory

iptables из sisyphus-branch-3.0. Что не так?

-- 
С уважением, Шенцев Алексей (AShen)

[Comm] iptables

[Шенцев Алексей Владимирович]

Ввожу:
# iptables -A FORWARD -i eth0 -p tcp -m mport \ --dports 25,110,465,995 -j 
ACCEPT 

Получаю:
iptables v1.3.1: Couldn't load match `mport':/lib/iptables/libipt_mport.so: 
cannot open shared object file: No such file 
or directory

Как сиё понять?
-- 
С уважением, Шенцев Алексей (AShen)

Re: [Comm] iptables

[Olvin]

Шенцев Алексей Владимирович wrote:
> Ввоожу правило для iptables (вроде правильно написал):
> # iptables -A FORWARD -i eth0 -p tcp -m mport \
> --dports 25,110,465,995 -j ACCEPT 
> а мне в ответ:
> iptables v1.3.1: Couldn't load match `mport':/lib/iptables/libipt_mport.so: 
> cannot open shared object file: No such file or directory
> iptables из sisyphus-branch-3.0. Что не так?

Перед этой командой modprobe ipt_multiport

Re: [Comm] iptables

[Воронцов Виталий Иванович]

Шенцев Алексей Владимирович пишет:

>Ввожу:
># iptables -A FORWARD -i eth0 -p tcp -m mport \ --dports 25,110,465,995 -j 
>ACCEPT 
>
>Получаю:
>iptables v1.3.1: Couldn't load match `mport':/lib/iptables/libipt_mport.so: 
>cannot open shared object file: No such file 
>or directory
>
>Как сиё понять?
>  
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Community mailing list
>Community@lists.altlinux.org
>https://lists.altlinux.org/mailman/listinfo/community
>
а если написать:

# iptables -A FORWARD -i eth0 -p tcp -m multiport \ --dports 25,110,465,995 -j 
ACCEPT 

?

Re: [Comm] iptables

[Шенцев Алексей Владимирович]

[-- Attachment #1: Type: text/plain, Size: 455 bytes --]

Опишу задачу. Созданы правила для iptables с помощью guarddog (полученный файл 
во вложении). Кэтим правилам надо добавить возможность получения/отправки 
почты с помощью внешних серваков, например mail.ru. Кроме этого нужно сделать 
возможность хожления определённым пользователям мимо установленного прокси, 
напрямую в инет. От прочитанной документации в голове сейчас просто каша, вот 
и спрашиваю......... ;)

-- 
С уважением, Шенцев Алексей (AShen)

[-- Attachment #2: iptables.2.tar.gz --]
[-- Type: application/x-tgz, Size: 1224 bytes --]

Re[2]: [Comm] iptables

[Наумкин Сергей]

Здравствуйте, Шенцев.

>Опишу задачу. Созданы правила для iptables с помощью guarddog (полученный файл
>во вложении). Кэтим правилам надо добавить возможность получения/отправки
>почты с помощью внешних серваков, например mail.ru. Кроме этого нужно сделать
>возможность хожления определённым пользователям мимо установленного прокси,
>напрямую в инет. От прочитанной документации в голове сейчас просто каша, вот
>и спрашиваю......... ;)
>
>--
>С уважением, Шенцев Алексей (AShen)
Во первых сразу скажу, ничем другим кроме текстового редактора  для
создания правил в iptables не пользуюсь.
Во вторых вы прислали уже транслированный набор правил, который
править достаточно затруднительно.
ниже приведу правила и условия, необходимые для  решения задачи
iptables -t nat -A POSTROUTING -o (внешний интерфейс) \
-s (ip машины которая ходит на прямую)\
-j SNAT --to-source (реальный ip машины)
Данное правило позволит выходить машине на прямую без прокси, для
каждой машины пишется отдельное правило.
ptables -t nat -A POSTROUTING -p TCP -o (внешний интерфейс) \
--dport 110 -s (ip машины которая ходит на прямую)\
-j SNAT --to-source (реальный ip машины)
ptables -t nat -A POSTROUTING -p TCP -o (внешний интерфейс) \
--dport 25 -s (ip машины которая ходит на прямую)\
-j SNAT --to-source (реальный ip машины)
Эти два правила позволят машине выходить напрямую в инет толко по 25 и
110 порту что необходимо для бщения с внешними почтовыми серверами.
-- 
С уважением,
 Наумкин Сергей

Re: [Comm] iptables

[Шенцев Алексей Владимирович]

В сообщении от Среда 26 Октябрь 2005 15:24 Наумкин Сергей написал(a):
> iptables -t nat -A POSTROUTING -o (внешний интерфейс) \
> -s (ip машины которая ходит на прямую)\
> -j SNAT --to-source (реальный ip машины)
iptables руганулся на -s, говорит bad argument

-- 
С уважением, Шенцев Алексей (AShen)