forum.opennet.ru - "Ограничение списка почтовых серверов при использовании NAT" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Ограничение списка почтовых серверов при использовании NAT"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Ограничение списка почтовых серверов при использовании NAT"		+/–
Сообщение от SkyRanger (ok) on 30-Июн-09, 08:59
Все привет. Такая проблема. У меня прописан и работает маскардинг для почтовых серверов. LOCALNET=192.168.130.0/24 iptables -P FORWARD DROP iptables -A FORWARD -p tcp -s $LOCALNET --dport 110 -j DROP iptables -A FORWARD -p tcp -s $LOCALNET -d smtp.mail.ru --dport 25 --sport 25 -j ACCEPT iptables -A FORWARD -p tcp -s $LOCALNET -d pop.mail.ru --dport 110 --sport 110 -j ACCEPT iptables -A FORWARD -p tcp -s $LOCALNET -d mail.ххххх.ru --dport 25 --sport 25 -j ACCEPT iptables -A FORWARD -p tcp -s $LOCALNET -d mail.ххххх.ru --dport 110 --sport 110 -j ACCEPT iptables -A FORWARD -p tcp -s $LOCALNET -d smtp.bk.ru --dport 25 --sport 25 -j ACCEPT iptables -A FORWARD -p tcp -s $LOCALNET -d pop.bk.ru --dport 110 --sport 110 -j ACCEPT iptables -A FORWARD -p tcp -s $LOCALNET -d smtp.inbox.ru --dport 25 --sport 25 -j ACCEPT iptables -A FORWARD -p tcp -s $LOCALNET -d pop.inbox.ru --dport 110 --sport 110 -j ACCEPT iptables -t nat -A POSTROUTING -p tcp -s $LOCALNET --dport 110 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -s $LOCALNET --dport 25 -j MASQUERADE iptables -A INPUT -s 69.10.61.242 -j DROP sysctl net.ipv4.ip_forward=1 Все работает нормально, но проблема что все ходят на любой почтовик. А не только на прописаные. В принципе оно и понятно, но у меня никак не получается прописать ограничение только для мейла и для mail.ххххх.ru
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Ограничение списка почтовых серверов при использовании NAT, reader, 10:33 , 30-Июн-09, (1)
Ограничение списка почтовых серверов при использовании NAT, mikra, 10:40 , 30-Июн-09, (2)
Ограничение списка почтовых--, Andrey Mitrofanov, 10:51 , 30-Июн-09, (3)

Ограничение списка почтовых--, SkyRanger, 11:22 , 30-Июн-09, (4)

Ограничение списка почтовых серверов при использовании NAT, SkyRanger, 07:14 , 01-Июл-09, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Ограничение списка почтовых серверов при использовании NAT" +/–

Сообщение от reader (ok) on 30-Июн-09, 10:33

>[оверквотинг удален]
>
>iptables -A INPUT -s 69.10.61.242 -j DROP
>
>sysctl net.ipv4.ip_forward=1
>
>
>Все работает нормально, но проблема что все ходят на любой почтовик. А
>не только на прописаные. В принципе оно и понятно, но у
>меня никак не получается прописать ограничение только для мейла и для
>mail.ххххх.ru
а ходят браузером?
лучше iptables-save

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Ограничение списка почтовых серверов при использовании NAT" +/–

Сообщение от mikra on 30-Июн-09, 10:40

>Все работает нормально, но проблема что все ходят на любой почтовик. А
>не только на прописаные. В принципе оно и понятно, но у
>меня никак не получается прописать ограничение только для мейла и для
>mail.ххххх.ru
Соединяться с 25 портом сервера клиент может с любого своего порта, а не только с 25. То же для 110.
Плюс https://www.opennet.ru/docs/RUS/iptables/
Таблица 3-1. Порядок движения транзитных пакетов
Матчасть, однако. На троечку даже не тянешь :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Ограничение списка почтовых--" +/–

Сообщение от Andrey Mitrofanov on 30-Июн-09, 10:51

>Все привет.
>
>Такая проблема. У меня прописан и работает маскардинг для почтовых серверов.
>
>
>LOCALNET=192.168.130.0/24
# cat ./masq-mail-out.firehol
version 5
LOCALNET=192.168.130.0/24
router i inface eth0 outface eth1 src $LOCALNET
  masquerade
  server "pop3 smtp" accept dst "`echo {smtp,pop3}.{mail,inbox,bk}.ru`"

# firehol ./masq-mail-out.firehol debug |./explain-sorter

WARNING
File '/etc/firehol/RESERVED_IPS' is more than 90 days old.
You should update it to ensure proper operation of your firewall.
Run the supplied get-iana script to generate this file.
-N out_i_smtp_s2
-A out_i_smtp_s2 -p tcp -s smtp.mail.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_smtp_s2 -p tcp -s smtp.inbox.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_smtp_s2 -p tcp -s smtp.bk.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_smtp_s2 -p tcp -s pop3.mail.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_smtp_s2 -p tcp -s pop3.inbox.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_smtp_s2 -p tcp -s pop3.bk.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-N in_i_smtp_s2
-A in_i_smtp_s2 -p tcp --sport 1024:65535 -d smtp.mail.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_smtp_s2 -p tcp --sport 1024:65535 -d smtp.inbox.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_smtp_s2 -p tcp --sport 1024:65535 -d smtp.bk.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_smtp_s2 -p tcp --sport 1024:65535 -d pop3.mail.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_smtp_s2 -p tcp --sport 1024:65535 -d pop3.inbox.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_smtp_s2 -p tcp --sport 1024:65535 -d pop3.bk.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT
-N out_i_pop3_s1
-A out_i_pop3_s1 -p tcp -s smtp.mail.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_pop3_s1 -p tcp -s smtp.inbox.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_pop3_s1 -p tcp -s smtp.bk.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_pop3_s1 -p tcp -s pop3.mail.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_pop3_s1 -p tcp -s pop3.inbox.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A out_i_pop3_s1 -p tcp -s pop3.bk.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-N in_i_pop3_s1
-A in_i_pop3_s1 -p tcp --sport 1024:65535 -d smtp.mail.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_pop3_s1 -p tcp --sport 1024:65535 -d smtp.inbox.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_pop3_s1 -p tcp --sport 1024:65535 -d smtp.bk.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_pop3_s1 -p tcp --sport 1024:65535 -d pop3.mail.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_pop3_s1 -p tcp --sport 1024:65535 -d pop3.inbox.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_i_pop3_s1 -p tcp --sport 1024:65535 -d pop3.bk.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT
-N out_i
-A out_i -j out_i_pop3_s1
-A out_i -j out_i_smtp_s2
-A out_i -m state --state RELATED -j ACCEPT
-N in_i
-A in_i -j in_i_pop3_s1
-A in_i -j in_i_smtp_s2
-A in_i -m state --state RELATED -j ACCEPT
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'OUT-unknown:\'
-A OUTPUT -j DROP
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'IN-unknown:\'
-A INPUT -j DROP
-A FORWARD -i eth0 -o eth1 -s 192.168.130.0/24 -j in_i
-A FORWARD -i eth1 -o eth0 -d 192.168.130.0/24 -j out_i
-A FORWARD -m state --state RELATED -j ACCEPT
-A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'PASS-unknown:\'
-A FORWARD -j DROP
-t nat -A POSTROUTING -o eth1 -j MASQUERADE
# exit
Продолжение http:/openforum/vsluhforumID10/3764.html#2 осмотра http:/openforum/vsluhforumID1/82167.html#2 и по ссылкам оттуда.
---ForeHOL, бесплатные образцы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Ограничение списка почтовых--" +/–

Сообщение от SkyRanger (ok) on 30-Июн-09, 11:22

>Продолжение http:/openforum/vsluhforumID10/3764.html#2 осмотра http:/openforum/vsluhforumID1/82167.html#2 и по ссылкам оттуда.
>
Пасибо. Буду пробовать.
А с теорией туго, но некогда вникать, надо сделать чтобы работало, так как другой работы море :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Ограничение списка почтовых серверов при использовании NAT" +/–

Сообщение от SkyRanger (ok) on 01-Июл-09, 07:14

Всем спасибо! Решение оказалось очень простым:
Просто до настроил shorewall
Добавил в /etc/shorewall/masq
строки
eth2                    eth0            -             tcp     110     -      -
eth2                    eth0            -             tcp     25     -      -
в
/etc/shorewall/rules
POP3/REJECT loc net:!94.100.177.6,94.100.177.1,94.100.177.8,94.100.177.1,94.100.177.3
после перезапуска файрвола все заработало :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Ограничение списка почтовых серверов при использовании NAT"		+/–
Сообщение от reader (ok) on 30-Июн-09, 10:33
>[оверквотинг удален] > >iptables -A INPUT -s 69.10.61.242 -j DROP > >sysctl net.ipv4.ip_forward=1 > > >Все работает нормально, но проблема что все ходят на любой почтовик. А >не только на прописаные. В принципе оно и понятно, но у >меня никак не получается прописать ограничение только для мейла и для >mail.ххххх.ru а ходят браузером? лучше iptables-save
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Ограничение списка почтовых серверов при использовании NAT"		+/–
Сообщение от mikra on 30-Июн-09, 10:40
>Все работает нормально, но проблема что все ходят на любой почтовик. А >не только на прописаные. В принципе оно и понятно, но у >меня никак не получается прописать ограничение только для мейла и для >mail.ххххх.ru Соединяться с 25 портом сервера клиент может с любого своего порта, а не только с 25. То же для 110. Плюс https://www.opennet.ru/docs/RUS/iptables/ Таблица 3-1. Порядок движения транзитных пакетов Матчасть, однако. На троечку даже не тянешь :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Ограничение списка почтовых--"		+/–
Сообщение от Andrey Mitrofanov on 30-Июн-09, 10:51
>Все привет. > >Такая проблема. У меня прописан и работает маскардинг для почтовых серверов. > > >LOCALNET=192.168.130.0/24 # cat ./masq-mail-out.firehol version 5 LOCALNET=192.168.130.0/24 router i inface eth0 outface eth1 src $LOCALNET masquerade server "pop3 smtp" accept dst "`echo {smtp,pop3}.{mail,inbox,bk}.ru`" # firehol ./masq-mail-out.firehol debug \|./explain-sorter WARNING File '/etc/firehol/RESERVED_IPS' is more than 90 days old. You should update it to ensure proper operation of your firewall. Run the supplied get-iana script to generate this file. -N out_i_smtp_s2 -A out_i_smtp_s2 -p tcp -s smtp.mail.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_smtp_s2 -p tcp -s smtp.inbox.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_smtp_s2 -p tcp -s smtp.bk.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_smtp_s2 -p tcp -s pop3.mail.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_smtp_s2 -p tcp -s pop3.inbox.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_smtp_s2 -p tcp -s pop3.bk.ru --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -N in_i_smtp_s2 -A in_i_smtp_s2 -p tcp --sport 1024:65535 -d smtp.mail.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_smtp_s2 -p tcp --sport 1024:65535 -d smtp.inbox.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_smtp_s2 -p tcp --sport 1024:65535 -d smtp.bk.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_smtp_s2 -p tcp --sport 1024:65535 -d pop3.mail.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_smtp_s2 -p tcp --sport 1024:65535 -d pop3.inbox.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_smtp_s2 -p tcp --sport 1024:65535 -d pop3.bk.ru --dport 25 -m state --state NEW\,ESTABLISHED -j ACCEPT -N out_i_pop3_s1 -A out_i_pop3_s1 -p tcp -s smtp.mail.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_pop3_s1 -p tcp -s smtp.inbox.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_pop3_s1 -p tcp -s smtp.bk.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_pop3_s1 -p tcp -s pop3.mail.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_pop3_s1 -p tcp -s pop3.inbox.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -A out_i_pop3_s1 -p tcp -s pop3.bk.ru --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT -N in_i_pop3_s1 -A in_i_pop3_s1 -p tcp --sport 1024:65535 -d smtp.mail.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_pop3_s1 -p tcp --sport 1024:65535 -d smtp.inbox.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_pop3_s1 -p tcp --sport 1024:65535 -d smtp.bk.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_pop3_s1 -p tcp --sport 1024:65535 -d pop3.mail.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_pop3_s1 -p tcp --sport 1024:65535 -d pop3.inbox.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_i_pop3_s1 -p tcp --sport 1024:65535 -d pop3.bk.ru --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT -N out_i -A out_i -j out_i_pop3_s1 -A out_i -j out_i_smtp_s2 -A out_i -m state --state RELATED -j ACCEPT -N in_i -A in_i -j in_i_pop3_s1 -A in_i -j in_i_smtp_s2 -A in_i -m state --state RELATED -j ACCEPT -A OUTPUT -m state --state RELATED -j ACCEPT -A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'OUT-unknown:\' -A OUTPUT -j DROP -A INPUT -m state --state RELATED -j ACCEPT -A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'IN-unknown:\' -A INPUT -j DROP -A FORWARD -i eth0 -o eth1 -s 192.168.130.0/24 -j in_i -A FORWARD -i eth1 -o eth0 -d 192.168.130.0/24 -j out_i -A FORWARD -m state --state RELATED -j ACCEPT -A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'PASS-unknown:\' -A FORWARD -j DROP -t nat -A POSTROUTING -o eth1 -j MASQUERADE # exit Продолжение http:/openforum/vsluhforumID10/3764.html#2 осмотра http:/openforum/vsluhforumID1/82167.html#2 и по ссылкам оттуда. ---ForeHOL, бесплатные образцы
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Ограничение списка почтовых--"		+/–
	Сообщение от SkyRanger (ok) on 30-Июн-09, 11:22
	>Продолжение http:/openforum/vsluhforumID10/3764.html#2 осмотра http:/openforum/vsluhforumID1/82167.html#2 и по ссылкам оттуда. > Пасибо. Буду пробовать. А с теорией туго, но некогда вникать, надо сделать чтобы работало, так как другой работы море :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Ограничение списка почтовых серверов при использовании NAT"		+/–
Сообщение от SkyRanger (ok) on 01-Июл-09, 07:14
Всем спасибо! Решение оказалось очень простым: Просто до настроил shorewall Добавил в /etc/shorewall/masq строки eth2 eth0 - tcp 110 - - eth2 eth0 - tcp 25 - - в /etc/shorewall/rules POP3/REJECT loc net:!94.100.177.6,94.100.177.1,94.100.177.8,94.100.177.1,94.100.177.3 после перезапуска файрвола все заработало :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору