Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
iptables & e-mail
|
|||
|---|---|---|---|
|
#18+
У меня такая проблема юзеры сквида не могут заходить на внешние почтовые ящики с помощью мылера(оутлук, бат и т.д.) только через веб-интерфейс. я уже замучил iptables - без толку... Подскажите плиз. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2005, 09:11 |
|
||
|
iptables & e-mail
|
|||
|---|---|---|---|
|
#18+
кинь народу свои правила для iptables сразу вопросы: у тебя настроен нат/маскардинг ? комп с иптаблесом/сквидом етс - прописан у клиентов как шлюз ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2005, 09:28 |
|
||
|
iptables & e-mail
|
|||
|---|---|---|---|
|
#18+
правила в основном стандартные. Даю содержимое файла /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Lokkit-0-50-INPUT - [0:0] -A INPUT -j RH-Lokkit-0-50-INPUT -A FORWARD -j RH-Lokkit-0-50-INPUT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT -A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT -A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 81.1.235.17 --sport 53 -d 0/0 -j ACCEPT -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 217.150.34.129 --sport 53 -d 0/0 -j ACCEPT -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 212.20.30.124 --sport 53 -d 0/0 -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT -A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT -A FORWARD -j ACCEPT -s 192.168.10.0/24 -d 81.1.235.21 -A FORWARD -j ACCEPT -d 192.168.10.0/24 -s 81.1.235.21 -A FORWARD -j DROP -s 192.168.10.0/24 -d 81.1.235.0/24 -A FORWARD -j DROP -d 192.168.10.0/24 -s 81.1.235.0/24 #-A RH-Lokkit-0-50-INPUT -s 192.168.10.1/24 -d 81.1.235.17 -p tcp --dport 25 -j ACCEPT #-A RH-Lokkit-0-50-INPUT -s 81.1.235.17/24 -p tcp --sport 25 -d 192.168.10.1 -j ACCEPT COMMIT маскарада нет. ната тоже. ДНС есть у юзеров сервер как шлюз прописан ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2005, 09:38 |
|
||
|
iptables & e-mail
|
|||
|---|---|---|---|
|
#18+
ну пропиши себе такое правило : /sbin/iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source <you out IP> и будет тебе нат а чтоб не лазилм за чем то еше окромя почты: /sbin/iptables -t filter -A FORWARD -p TCP -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 25 -j ACCEPT /sbin/iptables -t filter -A FORWARD -p TCP -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 110 -j ACCEPT /sbin/iptables -t filter -A FORWARD -p TCP -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j DROP ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2005, 14:17 |
|
||
|
iptables & e-mail
|
|||
|---|---|---|---|
|
#18+
Adekamerну пропиши себе такое правило : /sbin/iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source <you out IP> и будет тебе нат а чтоб не лазилм за чем то еше окромя почты: /sbin/iptables -t filter -A FORWARD -p TCP -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 25 -j ACCEPT /sbin/iptables -t filter -A FORWARD -p TCP -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 110 -j ACCEPT /sbin/iptables -t filter -A FORWARD -p TCP -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j DROP Мне вот всегда интересно было, чем руководствуются администраторы, делая такие правила? 1 порт открыл и любой юзер может сделать через него туннель :-) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2005, 11:18 |
|
||
|
iptables & e-mail
|
|||
|---|---|---|---|
|
#18+
А я тебе скажу - у меня вот нельзя так сделать - но человеку нужно организовать доступ к почтовым серверам вне своей сети. Более того - ненужно много мозгов - чтоб понять на приведенном мною примере как сделать доступ только к определенным почтовым серверам. А насчет тунеля - ню-ню - я посмотрю как любой юзер сделает тунель по 25 и 110 порту. Ведь тогда этому юзеру придется иметь свой комп присутствующий в инете - да еще и со спец ПО позволяющем сделать тунель (а нафига ему вообще такой тунель ?) а это подразумевает уже несколько иной уровень знаний - чем нежели ЛЮБОЙ ЮЗЕР( тем более уже ипсек не катит - тк идет перезапись заголовков). Более того - если нет ничего кроие хттп прокси - уже можно сделать свой тунель - имея свой комп в инете. И тунель будет через хттп прокси. НО ЭТО ВСЕ ТЕМА ОТДЕЛЬНОЙ БЕСЕДЫ - ИТ БЕЗОПАСТНОСТИ. Тема сложная и неодназначная - так что нефига выпендриваться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2005, 20:29 |
|
||
|
iptables & e-mail
|
|||
|---|---|---|---|
|
#18+
Народ! У меня на сервере кроме компов на проксятнике есть еще машины с реальными адресами. с них-то все ОК. без всякого ната ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.02.2005, 07:05 |
|
||
|
iptables & e-mail
|
|||
|---|---|---|---|
|
#18+
интересно как выбраны правила по умалчанию FORWARD ACCEPT получается что с серых адресов блокируется транзит лишь сюда 81.1.235.0/24 Остальное все пропускается в т.ч. и порты 25/110 Т.о. если юзеры сквида не могут заходить на внешние почтовые ящики с помощью мылера(оутлук, бат и т.д.) только через веб-интерфейс значит iptables тут нипричем а значит см. сам squid P.S. а с реальных адресов еще бы неработало и нафига им nat ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.02.2005, 08:02 |
|
||
|
|
start [/forum/topic.php?fid=25&tid=1491017]: |
0ms |
get settings: |
7ms |
get forum list: |
11ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
39ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
33ms |
get tp. blocked users: |
2ms |
| others: | 224ms |
| total: | 331ms |
| 0 / 0 |
