iptables и 110

[Spook1680]

Доброго всем.
Немного по теории и практики помощь нужна.
Беру для теста на серваке леплю простую таблицу
Общая схема без канкретики.
eth1 - провайдер 91
eth0 - локалка 192.168.14.0/24
- 192.168.14.1 - шлюз
ну NAT
dns поднят, без наваротов.

Почему когда у пользователя стоит в настройках сетевухи dns провайдера 91.... ля. ля.
То почту и получаю и передаю.
Как только прописываю ip 192.168.14.1 своего сервака (в dns ) почту отправляю но не получаю.
При dns 192.168.14.1 - инет работает

Кусок правил не хитрых для теста написаных
Понятно что не секюрно, но тут это сейчас и не преследуется.

Код: Выделить всё

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]


-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT


-A FORWARD -i eth0 -o eth1 -m tcp -p tcp --dport 25 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m tcp -p tcp --dport 110 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT

-A POSTROUTING -s 192.168.14.0/24 -j SNAT -o eth1 --to-source 91.
-A POSTROUTING -p tcp -s 192.168.14.0/24 --dport 110 -j SNAT --to-source 91.
-A POSTROUTING -p tcp -s 192.168.14.0/24 --dport 25 -j SNAT --to-source 91.

*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Graf]

53 порт надо открыть.
причем и TCP и UDP

[Spook1680]

53 порт надо открыть.
причем и TCP и UDP

Он открыт

Код: Выделить всё

-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT

Я просто не написал.
Писал выше что хрень получается, если у пользователя dns провайдера то почту получаю и отправлю, если dns (ip 192.168.14.1) то все работает кроме получения почты.

[Graf]

так может проблема в днс?
не понятно, что значит "без наворотов".
форвард на провайдера или полноценный ДНС сервер компании?

[Graf]

думаю, что форвард.
тогда, не знаю как на твоем дистре (что-то красношапочное, вроде) в слаке /etc/named.conf

Код: Выделить всё

options                                                                                                                                                                                                                                      
 {
  directory "/var/named";
  dump-file "/var/named/data/cache_dump.db";
  statistics-file "/var/named/data/named_stats.txt";
  memstatistics-file "/var/named/data/named_mem_stats.txt";
  forward first;
  forwarders {91.91.91.91;91.91.91.92;};     # DNS'ы прова
 };

logging
{
 channel default_ch
  {
   file "/var/log/named/named.log";
   severity dynamic; //info
   print-time yes;
   print-category yes;
   print-severity yes;
  };
 channel security_ch
  {
   file "/var/log/named/security.log" versions 4 size 100k;
   severity info;
   print-time yes;
   print-category yes;
  };
category default { default_ch; };
category security { security_ch; };
category lame-servers { null; };
};

zone "." IN {
        type hint;
        file "caching-example/named.ca";
};

zone "localhost" IN {
        type master;
        file "caching-example/localhost.zone";
        allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "caching-example/named.local";
        allow-update { none; };
};

в /etc/resolv.conf

Код: Выделить всё

nameserver 127.0.0.1

[Spook1680]

Ну в принципи да Centos
но named настроен, конфиг. файл другой конечно но результат рабочий

Код: Выделить всё

# nslookup localhost
Server:		127.0.0.1
Address:	127.0.0.1#53

Name:	localhost
Address: 127.0.0.1

[root@bunisw sysconfig]# nslookup 127.0.0.1
Server:		127.0.0.1
Address:	127.0.0.1#53

1.0.0.127.in-addr.arpa	name = localhost.

Код: Выделить всё

# nslookup yandex.ru
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
Name:	yandex.ru
Address: 77.88.21.11
Name:	yandex.ru
Address: 87.250.250.11

# nslookup 77.88.21.11
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
11.21.88.77.in-addr.arpa	name = yandex.ru.

Authoritative answers can be found from:
21.88.77.in-addr.arpa	nameserver = ns1.yandex.net.
21.88.77.in-addr.arpa	nameserver = ns4.yandex.net.

Просто если в политике iptables везде ACCEPT и почта бегает когда dns провайдера установлен на пользовательских машинах.
Как только адрес сервака 192.168.14.1 dns - почта не идет. Напрашиваеться сразу что какие-то ошибки в нем.

Добавлю что в POSTROUTING

Код: Выделить всё

-A POSTROUTING -s 192.168.14.0/24 -j SNAT -o eth1 --to-source 91.
-A PREROUTING -s 192.168.14.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128

Пробовал еще добавить вариант

Код: Выделить всё

-A POSTROUTING -s 192.168.14.0/24 -p tcp -m multiport --dport 25,110 -j MASQUERADE

Но ситуация не поменялась.

[Graf]

а логи что говорят?

[Spook1680]

а логи что говорят?

смотря какие логи.
Я поэтому сюда и писал, т.к. ничего дельного в логах не нашел.

[Graf]

53 порт надо открыть.
причем и TCP и UDP

Он открыт

Код: Выделить всё

-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT

Я просто не написал.
Писал выше что хрень получается, если у пользователя dns провайдера то почту получаю и отправлю, если dns (ip 192.168.14.1) то все работает кроме получения почты.

на OUTPUT тоже открыт?
и попробуй открыть на OUTPUT'е 80 порт

[Spook1680]

53 порт надо открыть.
причем и TCP и UDP

Он открыт

Код: Выделить всё

-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT

Я просто не написал.
Писал выше что хрень получается, если у пользователя dns провайдера то почту получаю и отправлю, если dns (ip 192.168.14.1) то все работает кроме получения почты.

на OUTPUT тоже открыт?
и попробуй открыть на OUTPUT'е 80 порт

ОК попробую сделать, но я не писал для 53 открытие, думал этого не надо, ведь по умолчаюни

:OUTPUT ACCEPT [0:0]

[Graf]

ОК попробую сделать, но я не писал для 53 открытие, думал этого не надо, ведь по умолчаюни
:OUTPUT ACCEPT [0:0]

да, точно, тогда не надо.
давай тогда смотреть весь iptables или хотя бы цепочку INPUT.
может, последовательность не правильна?
да и если логи ведутся, в debug должно появиться что-то типа такого:

Код: Выделить всё

Apr 19 03:22:42 mycomp kernel: IPT INPUT packet died: IN=eth1 OUT= MAC=00:01:02:03:04:05:06:07:08:09:a1:b1:a2:b2 SRC=11.11.11.11 DST=22.22.22.22 LEN=100 TOS=0x00 PREC=0x00 TTL=62 ID=34844 PROTO=UDP SPT=53 DPT=15151 LEN=80  

у меня вот такая строчка в конце цепочки INPUT

Код: Выделить всё

 $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
           --log-level DEBUG --log-prefix "IPT INPUT packet died: "    

[FiL]

a при чем тут фаервол, если проблема в том какой DNS-server использует клиент?

[Graf]

a при чем тут фаервол, если проблема в том какой DNS-server использует клиент?

Просто если в политике iptables везде ACCEPT и почта бегает когда dns провайдера установлен на пользовательских машинах.
Как только адрес сервака 192.168.14.1 dns - почта не идет. Напрашиваеться сразу что какие-то ошибки в нем

т.е. когда везде ACCEPT - все работает, а иначе нет.

[Spook1680]

a при чем тут фаервол, если проблема в том какой DNS-server использует клиент?

Ага вы правы тут явно проблема с DNS iptables не причем, пока правда не разобрался почему не хочет пахать.

[Spook1680]

В дополнение добавлю настройки сети
eth1 - Провайдер
eth0 - Локалка
vi ifcfg-eth1

Код: Выделить всё

DEVICE="eth1"
BOOTPROTO=static
HWADDR="00:1B:21:39:6F:39"
NM_CONTROLLED="yes"
ONBOOT="yes"
GATEWAY=91
IPADDR=91
NETMASK=255.

vi ifcfg-eth0

Код: Выделить всё

DEVICE="eth0"
NM_CONTROLLED="yes"
ONBOOT=yes
HWADDR=F4:6D:04:60:4B:B9
TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.14.1
PREFIX=24
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03
DNS1=127.0.0.1

Кстати вот тут мне не понятно почему он добовляет search ru
Если я закоменчу или удалю его, то после перезагрузки всеравно появиться.

Код: Выделить всё

# cat /etc/resolv.conf
# Generated by NetworkManager
search ru
nameserver 127.0.0.1

[Spook1680]

Продолжаю моноло))
Можеткто и сталкивался, ну за один косяк потащил остальные видно посыпались
Сервак ставился (мин. конфигурация раб. стол гномеО)

Код: Выделить всё

uname -a
Linux bunisw.ru 2.6.32-220.7.1.el6.i686 #

По поводу вот этой болячки и откуда она береться

Код: Выделить всё

search ru

Подозрения на NetworkManadger
я его в интерфейсах вырубил

Код: Выделить всё

NM_CONTROLLED="no"

еще одна бяка мне не понятная если хочу редактировать
vi /etc/resolv.conf
то перед этим вижу такое окно

E325: ATTENTION
Found a swap file by the name "/etc/.resolv.conf.swp"
owned by: root dated: Mon Apr 16 22:54:40 2012
file name: /etc/resolv.conf
modified: YES
user name: root host name: bunisw.ru
process ID: 9159
While opening file "/etc/resolv.conf"
dated: Thu Apr 19 16:31:03 2012
NEWER than swap file!

(1) Another program may be editing the same file.
If this is the case, be careful not to end up with two
different instances of the same file when making changes.
Quit, or continue with caution.

(2) An edit session for this file crashed.
If this is the case, use ":recover" or "vim -r /etc/resolv.conf"
to recover the changes (see ":help recovery").
If you did this already, delete the swap file "/etc/.resolv.conf.swp"
to avoid this message.
"/etc/resolv.conf" 10L, 259C
Press ENTER or type command to continue

Тема вроде тут курилась

https://www.centos.org/modules/newbb/v ... _id=33908

ROFL!!!! HA HA!! Not trying to be a pest, but this has actually become amusing. I'll leave you with this snippet, then I think I need to run over to TUV and file a bug report. (I've seen some over there about NetworkManager being enabled even on a machine with no GUI, but I feel like waving my arms and screaming a little, anyway. It'll do me good.)

Here you go:

[root@www etc]# nano resolv.conf (this is where I edit resolv.conf to eliminate the garbage ...)
[root@www etc]# chmod ugo-w resolv.conf (make it READ ONLY for EVERYONE)
[root@www etc]# ls -al resolv.conf (sure enough ...)
-r--r--r-- 1 root root 68 Oct 24 20:02 resolv.conf
[root@www etc]# service network restart
Shutting down interface eth0: [ OK ]
Shutting down loopback interface: [ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0: [ OK ]
[root@www etc]# cat resolv.conf
# Generated by NetworkManager
search loc


# No nameservers found; try putting DNS servers into your
# ifcfg files in /etc/sysconfig/network-scripts like so:
#
# DNS1=xxx.xxx.xxx.xxx
# DNS2=xxx.xxx.xxx.xxx
# DOMAIN=lab.foo.com bar.foo.com
nameserver 68.87.85.98
nameserver 68.87.69.146
[

HAH! HAHAHAH!

Не хота сносить и переделывать.

[FiL]

a при чем тут фаервол, если проблема в том какой DNS-server использует клиент?

Просто если в политике iptables везде ACCEPT и почта бегает когда dns провайдера установлен на пользовательских машинах.
Как только адрес сервака 192.168.14.1 dns - почта не идет. Напрашиваеться сразу что какие-то ошибки в нем

т.е. когда везде ACCEPT - все работает, а иначе нет.

Всё работает когда DNS провайдерский. От настроек iptables работа не зависит, как я понимаю.

[FiL]

то перед этим вижу такое окно

E325: ATTENTION
Found a swap file by the name "/etc/.resolv.conf.swp"
owned by: root dated: Mon Apr 16 22:54:40 2012

Не хота сносить и переделывать.

Не охота что сносить? Снеси swap file. От предыдущей сессии вима. "/etc/.resolv.conf.swp"

[Spook1680]

то перед этим вижу такое окно

E325: ATTENTION
Found a swap file by the name "/etc/.resolv.conf.swp"
owned by: root dated: Mon Apr 16 22:54:40 2012

Не хота сносить и переделывать.

Не охота что сносить? Снеси swap file. От предыдущей сессии вима. "/etc/.resolv.conf.swp"

Подскажи как?
я его не вижу он в каталоге /etc не отображаеться

[Spook1680]

resolv.conf что бы изменения не пропадали (когда ручками его редактировал) после перезагрузки
надо было

Код: Выделить всё

chkconfig --list | grep -i network
NetworkManager 	0:off	1:off	2:on	3:on	4:on	5:on	6:off
network        	0:off	1:off	2:on	3:on	4:on	5:on	6:off

chkconfig --level 2345 NetworkManager off

тогда все будет пучком.

[Spook1680]

то перед этим вижу такое окно

E325: ATTENTION
Found a swap file by the name "/etc/.resolv.conf.swp"
owned by: root dated: Mon Apr 16 22:54:40 2012

Не хота сносить и переделывать.

Не охота что сносить? Снеси swap file. От предыдущей сессии вима. "/etc/.resolv.conf.swp"

)) все удалил vim resolv.conf ну и дальше предложил что сним сделать.)
Спасибо.

[Spook1680]

тема закрыта named.conf выпилил., привожу пример простого рабочего конфига, для начинающий возможно будет и полезно.

Код: Выделить всё

options {
	listen-on port 53 { 127.0.0.1; 192.168.14.1; };
	listen-on-v6 port 53 { ::1; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
	allow-query     { localhost; 192.168.14.0/24; };
	recursion yes;

	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;

	/* Path to ISC DLV key */
	bindkeys-file "/etc/named.iscdlv.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
	type hint;
	file "named.ca";
};

include "/etc/named.rfc1912.zones";