Страница 1 из 1
iptables и 110
Добавлено: 2012-04-17 13:53:07
Spook1680
Доброго всем.
Немного по теории и практики помощь нужна.
Беру для теста на серваке леплю простую таблицу
Общая схема без канкретики.
eth1 - провайдер 91
eth0 - локалка 192.168.14.0/24
- 192.168.14.1 - шлюз
ну NAT
dns поднят, без наваротов.
Почему когда у пользователя стоит в настройках сетевухи dns провайдера 91.... ля. ля.
То почту и получаю и передаю.
Как только прописываю ip 192.168.14.1 своего сервака (в dns ) почту отправляю но не получаю.
При dns 192.168.14.1 - инет работает
Кусок правил не хитрых для теста написаных
Понятно что не секюрно, но тут это сейчас и не преследуется.
Код: Выделить всё
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m tcp -p tcp --dport 25 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m tcp -p tcp --dport 110 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
-A POSTROUTING -s 192.168.14.0/24 -j SNAT -o eth1 --to-source 91.
-A POSTROUTING -p tcp -s 192.168.14.0/24 --dport 110 -j SNAT --to-source 91.
-A POSTROUTING -p tcp -s 192.168.14.0/24 --dport 25 -j SNAT --to-source 91.
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
Re: iptables и 110
Добавлено: 2012-04-18 6:55:25
Graf
53 порт надо открыть.
причем и TCP и UDP
Re: iptables и 110
Добавлено: 2012-04-18 9:15:30
Spook1680
Graf писал(а):53 порт надо открыть.
причем и TCP и UDP
Он открыт
Код: Выделить всё
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
Я просто не написал.
Писал выше что хрень получается, если у пользователя dns провайдера то почту получаю и отправлю, если dns (ip 192.168.14.1) то все работает кроме получения почты.
Re: iptables и 110
Добавлено: 2012-04-18 11:24:44
Graf
так может проблема в днс?
не понятно, что значит "без наворотов".
форвард на провайдера или полноценный ДНС сервер компании?
Re: iptables и 110
Добавлено: 2012-04-18 11:33:38
Graf
думаю, что форвард.
тогда, не знаю как на твоем дистре (что-то красношапочное, вроде) в слаке
/etc/named.conf
Код: Выделить всё
options
{
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
forward first;
forwarders {91.91.91.91;91.91.91.92;}; # DNS'ы прова
};
logging
{
channel default_ch
{
file "/var/log/named/named.log";
severity dynamic; //info
print-time yes;
print-category yes;
print-severity yes;
};
channel security_ch
{
file "/var/log/named/security.log" versions 4 size 100k;
severity info;
print-time yes;
print-category yes;
};
category default { default_ch; };
category security { security_ch; };
category lame-servers { null; };
};
zone "." IN {
type hint;
file "caching-example/named.ca";
};
zone "localhost" IN {
type master;
file "caching-example/localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "caching-example/named.local";
allow-update { none; };
};
в
/etc/resolv.conf
Re: iptables и 110
Добавлено: 2012-04-18 11:53:51
Spook1680
Ну в принципи да Centos
но named настроен, конфиг. файл другой конечно но результат рабочий
Код: Выделить всё
# nslookup localhost
Server: 127.0.0.1
Address: 127.0.0.1#53
Name: localhost
Address: 127.0.0.1
[root@bunisw sysconfig]# nslookup 127.0.0.1
Server: 127.0.0.1
Address: 127.0.0.1#53
1.0.0.127.in-addr.arpa name = localhost.
Код: Выделить всё
# nslookup yandex.ru
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: yandex.ru
Address: 77.88.21.11
Name: yandex.ru
Address: 87.250.250.11
# nslookup 77.88.21.11
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
11.21.88.77.in-addr.arpa name = yandex.ru.
Authoritative answers can be found from:
21.88.77.in-addr.arpa nameserver = ns1.yandex.net.
21.88.77.in-addr.arpa nameserver = ns4.yandex.net.
Просто если в политике iptables везде ACCEPT и почта бегает когда dns провайдера установлен на пользовательских машинах.
Как только адрес сервака 192.168.14.1 dns - почта не идет. Напрашиваеться сразу что какие-то ошибки в нем.
Добавлю что в POSTROUTING
Код: Выделить всё
-A POSTROUTING -s 192.168.14.0/24 -j SNAT -o eth1 --to-source 91.
-A PREROUTING -s 192.168.14.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
Пробовал еще добавить вариант
Код: Выделить всё
-A POSTROUTING -s 192.168.14.0/24 -p tcp -m multiport --dport 25,110 -j MASQUERADE
Но ситуация не поменялась.
Re: iptables и 110
Добавлено: 2012-04-18 12:11:21
Graf
а логи что говорят?
Re: iptables и 110
Добавлено: 2012-04-18 12:16:25
Spook1680
Graf писал(а):а логи что говорят?
смотря какие логи.
Я поэтому сюда и писал, т.к. ничего дельного в логах не нашел.
Re: iptables и 110
Добавлено: 2012-04-18 13:07:56
Graf
Spook1680 писал(а):Graf писал(а):53 порт надо открыть.
причем и TCP и UDP
Он открыт
Код: Выделить всё
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
Я просто не написал.
Писал выше что хрень получается, если у пользователя dns провайдера то почту получаю и отправлю, если dns (ip 192.168.14.1) то все работает кроме получения почты.
на OUTPUT тоже открыт?
и попробуй открыть на OUTPUT'е 80 порт
Re: iptables и 110
Добавлено: 2012-04-18 13:45:30
Spook1680
Graf писал(а):Spook1680 писал(а):Graf писал(а):53 порт надо открыть.
причем и TCP и UDP
Он открыт
Код: Выделить всё
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
Я просто не написал.
Писал выше что хрень получается, если у пользователя dns провайдера то почту получаю и отправлю, если dns (ip 192.168.14.1) то все работает кроме получения почты.
на OUTPUT тоже открыт?
и попробуй открыть на OUTPUT'е 80 порт
ОК попробую сделать, но я не писал для 53 открытие, думал этого не надо, ведь по умолчаюни
:OUTPUT ACCEPT [0:0]
Re: iptables и 110
Добавлено: 2012-04-19 6:41:30
Graf
Spook1680 писал(а):ОК попробую сделать, но я не писал для 53 открытие, думал этого не надо, ведь по умолчаюни
:OUTPUT ACCEPT [0:0]
да, точно, тогда не надо.
давай тогда смотреть весь iptables или хотя бы цепочку INPUT.
может, последовательность не правильна?
да и если логи ведутся, в
debug должно появиться что-то типа такого:
Код: Выделить всё
Apr 19 03:22:42 mycomp kernel: IPT INPUT packet died: IN=eth1 OUT= MAC=00:01:02:03:04:05:06:07:08:09:a1:b1:a2:b2 SRC=11.11.11.11 DST=22.22.22.22 LEN=100 TOS=0x00 PREC=0x00 TTL=62 ID=34844 PROTO=UDP SPT=53 DPT=15151 LEN=80
у меня вот такая строчка в конце цепочки INPUT
Код: Выделить всё
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
Re: iptables и 110
Добавлено: 2012-04-19 6:51:06
FiL
a при чем тут фаервол, если проблема в том какой DNS-server использует клиент?
Re: iptables и 110
Добавлено: 2012-04-19 6:58:43
Graf
FiL писал(а):a при чем тут фаервол, если проблема в том какой DNS-server использует клиент?
Spook1680 писал(а):
Просто если в политике iptables везде ACCEPT и почта бегает когда dns провайдера установлен на пользовательских машинах.
Как только адрес сервака 192.168.14.1 dns - почта не идет. Напрашиваеться сразу что какие-то ошибки в нем
т.е. когда везде ACCEPT - все работает, а иначе нет.
Re: iptables и 110
Добавлено: 2012-04-19 8:12:14
Spook1680
FiL писал(а):a при чем тут фаервол, если проблема в том какой DNS-server использует клиент?
Ага вы правы тут явно проблема с DNS iptables не причем, пока правда не разобрался почему не хочет пахать.
Re: iptables и 110
Добавлено: 2012-04-19 9:30:53
Spook1680
В дополнение добавлю настройки сети
eth1 - Провайдер
eth0 - Локалка
vi ifcfg-eth1
Код: Выделить всё
DEVICE="eth1"
BOOTPROTO=static
HWADDR="00:1B:21:39:6F:39"
NM_CONTROLLED="yes"
ONBOOT="yes"
GATEWAY=91
IPADDR=91
NETMASK=255.
vi ifcfg-eth0
Код: Выделить всё
DEVICE="eth0"
NM_CONTROLLED="yes"
ONBOOT=yes
HWADDR=F4:6D:04:60:4B:B9
TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.14.1
PREFIX=24
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03
DNS1=127.0.0.1
Кстати вот тут мне не понятно почему он добовляет search ru
Если я закоменчу или удалю его, то после перезагрузки всеравно появиться.
Код: Выделить всё
# cat /etc/resolv.conf
# Generated by NetworkManager
search ru
nameserver 127.0.0.1
Re: iptables и 110
Добавлено: 2012-04-19 16:11:48
Spook1680
Продолжаю моноло))
Можеткто и сталкивался, ну за один косяк потащил остальные видно посыпались
Сервак ставился (мин. конфигурация раб. стол гномеО)
Код: Выделить всё
uname -a
Linux bunisw.ru 2.6.32-220.7.1.el6.i686 #
По поводу вот этой болячки и откуда она береться
Подозрения на NetworkManadger
я его в интерфейсах вырубил
еще одна бяка мне не понятная если хочу редактировать
vi /etc/resolv.conf
то перед этим вижу такое окно
E325: ATTENTION
Found a swap file by the name "/etc/.resolv.conf.swp"
owned by: root dated: Mon Apr 16 22:54:40 2012
file name: /etc/resolv.conf
modified: YES
user name: root host name: bunisw.ru
process ID: 9159
While opening file "/etc/resolv.conf"
dated: Thu Apr 19 16:31:03 2012
NEWER than swap file!
(1) Another program may be editing the same file.
If this is the case, be careful not to end up with two
different instances of the same file when making changes.
Quit, or continue with caution.
(2) An edit session for this file crashed.
If this is the case, use ":recover" or "vim -r /etc/resolv.conf"
to recover the changes (see ":help recovery").
If you did this already, delete the swap file "/etc/.resolv.conf.swp"
to avoid this message.
"/etc/resolv.conf" 10L, 259C
Press ENTER or type command to continue
Тема вроде тут курилась
https://www.centos.org/modules/newbb/v ... _id=33908
ROFL!!!! HA HA!! Not trying to be a pest, but this has actually become amusing. I'll leave you with this snippet, then I think I need to run over to TUV and file a bug report. (I've seen some over there about NetworkManager being enabled even on a machine with no GUI, but I feel like waving my arms and screaming a little, anyway. It'll do me good.)
Here you go:
[root@www etc]# nano resolv.conf (this is where I edit resolv.conf to eliminate the garbage ...)
[root@www etc]# chmod ugo-w resolv.conf (make it READ ONLY for EVERYONE)
[root@www etc]# ls -al resolv.conf (sure enough ...)
-r--r--r-- 1 root root 68 Oct 24 20:02 resolv.conf
[root@www etc]# service network restart
Shutting down interface eth0: [ OK ]
Shutting down loopback interface: [ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0: [ OK ]
[root@www etc]# cat resolv.conf
# Generated by NetworkManager
search loc
# No nameservers found; try putting DNS servers into your
# ifcfg files in /etc/sysconfig/network-scripts like so:
#
# DNS1=xxx.xxx.xxx.xxx
# DNS2=xxx.xxx.xxx.xxx
# DOMAIN=lab.foo.com bar.foo.com
nameserver 68.87.85.98
nameserver 68.87.69.146
[
HAH! HAHAHAH!
Не хота сносить и переделывать.
Re: iptables и 110
Добавлено: 2012-04-19 16:37:37
FiL
Graf писал(а):FiL писал(а):a при чем тут фаервол, если проблема в том какой DNS-server использует клиент?
Spook1680 писал(а):
Просто если в политике iptables везде ACCEPT и почта бегает когда dns провайдера установлен на пользовательских машинах.
Как только адрес сервака 192.168.14.1 dns - почта не идет. Напрашиваеться сразу что какие-то ошибки в нем
т.е. когда везде ACCEPT - все работает, а иначе нет.
Всё работает когда DNS провайдерский. От настроек iptables работа не зависит, как я понимаю.
Re: iptables и 110
Добавлено: 2012-04-19 16:39:10
FiL
Spook1680 писал(а):
то перед этим вижу такое окно
E325: ATTENTION
Found a swap file by the name "/etc/.resolv.conf.swp"
owned by: root dated: Mon Apr 16 22:54:40 2012
Не хота сносить и переделывать.
Не охота что сносить? Снеси swap file. От предыдущей сессии вима. "/etc/.resolv.conf.swp"
Re: iptables и 110
Добавлено: 2012-04-19 16:43:46
Spook1680
FiL писал(а):Spook1680 писал(а):
то перед этим вижу такое окно
E325: ATTENTION
Found a swap file by the name "/etc/.resolv.conf.swp"
owned by: root dated: Mon Apr 16 22:54:40 2012
Не хота сносить и переделывать.
Не охота что сносить? Снеси swap file. От предыдущей сессии вима. "/etc/.resolv.conf.swp"
Подскажи как?
я его не вижу он в каталоге /etc не отображаеться
Re: iptables и 110
Добавлено: 2012-04-19 16:50:20
Spook1680
resolv.conf что бы изменения не пропадали (когда ручками его редактировал) после перезагрузки
надо было
Код: Выделить всё
chkconfig --list | grep -i network
NetworkManager 0:off 1:off 2:on 3:on 4:on 5:on 6:off
network 0:off 1:off 2:on 3:on 4:on 5:on 6:off
chkconfig --level 2345 NetworkManager off
тогда все будет пучком.
Re: iptables и 110
Добавлено: 2012-04-19 16:58:53
Spook1680
FiL писал(а):Spook1680 писал(а):
то перед этим вижу такое окно
E325: ATTENTION
Found a swap file by the name "/etc/.resolv.conf.swp"
owned by: root dated: Mon Apr 16 22:54:40 2012
Не хота сносить и переделывать.
Не охота что сносить? Снеси swap file. От предыдущей сессии вима. "/etc/.resolv.conf.swp"
)) все удалил vim resolv.conf ну и дальше предложил что сним сделать.)
Спасибо.
Re: iptables и 110
Добавлено: 2012-04-20 9:27:45
Spook1680
тема закрыта named.conf выпилил., привожу пример простого рабочего конфига, для начинающий возможно будет и полезно.
Код: Выделить всё
options {
listen-on port 53 { 127.0.0.1; 192.168.14.1; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; 192.168.14.0/24; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";