forum.opennet.ru - "неработает почтовый клиент из второй подсети" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"неработает почтовый клиент из второй подсети"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"неработает почтовый клиент из второй подсети"		+/–
Сообщение от ges35 (ok) on 16-Окт-09, 12:11
Есть такой дистрибутив Endian Firewall на базе IPCop.Есть домен с сетью 192.168.0.0/24, есть еще одна подсеть 192.168.5.0/24, она маршрутизируется cisco в подсеть 192.168.0.0/24 На Endian Firewall сделан шлюз в инет. Завел я шлюз в домен настроил, с подсетью 192.168.0.0/24 все прекрасно работает и инет через squid и почтовые клиенты типа the bat работают.Настроил я на шлюзе роутер для подсети 192.168.5.0/24 , само собой cisco настроена на шлюз, внутренний ip шлюза 192.168.0.1 Проверяю, пнги идут, достучаться до машин в подсети 192.168.5.0/24 тоже можно и прокси тоже работает по http пускает, а вот почтовые клиенты нивкакую нихотят работать, где и что нужно крутить, может плохо искал, но уже и англоязычные их сайты перерыл и так кучу инфы прочитал, а понять немогу, что и где крутить.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

неработает почтовый клиент из второй подсети, Square, 14:27 , 17-Окт-09, (1)

неработает почтовый клиент из второй подсети, ges35, 06:42 , 19-Окт-09, (2)

неработает почтовый клиент из второй подсети, Square, 13:18 , 19-Окт-09, (3)

неработает почтовый клиент из второй подсети, angra, 13:15 , 20-Окт-09, (4)

неработает почтовый клиент из второй подсети, ges35, 16:26 , 20-Окт-09, (5)

неработает почтовый клиент из второй подсети, angra, 10:09 , 21-Окт-09, (6)

неработает почтовый клиент из второй подсети, ges35, 18:50 , 21-Окт-09, (7)

неработает почтовый клиент из второй подсети, ges35, 09:13 , 22-Окт-09, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "неработает почтовый клиент из второй подсети" +/–

Сообщение от Square (ok) on 17-Окт-09, 14:27

>[оверквотинг удален]
>На Endian Firewall сделан шлюз в инет. Завел я шлюз в домен
>настроил, с подсетью 192.168.0.0/24 все прекрасно работает и инет через squid
> и почтовые клиенты типа the bat работают.Настроил я на шлюзе
>роутер для подсети 192.168.5.0/24 , само собой cisco настроена на шлюз,
>внутренний ip шлюза 192.168.0.1 Проверяю, пнги идут, достучаться до машин в
>подсети 192.168.5.0/24 тоже можно и прокси тоже работает по http пускает,
>а вот почтовые клиенты нивкакую нихотят работать, где и что нужно
>крутить, может плохо искал, но уже и англоязычные их сайты перерыл
>и так кучу инфы прочитал, а понять немогу, что и где
>крутить.
Проследить tcpdumpом путь прохождения пакетиков из сети 192.168.5.0/24 к шлюзу. Убедиться что на шлюз они приходят. Ну и смотреть логи шлюза -по какой причине он их не пропускает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "неработает почтовый клиент из второй подсети" +/–

Сообщение от ges35 (ok) on 19-Окт-09, 06:42

я в linux еще совсем новичек,tcpdumpом незнаю как его сюда прикрутить, но думаю что пакеты доходят так как по http из подсети 192.168.5.0/24 в инет выходят, да и пинги проходят, а вот где логи посмотреть и что в них искать? Зашел в папку log а там куча папок, подскажите где смотреть и что?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "неработает почтовый клиент из второй подсети" +/–

Сообщение от Square (ok) on 19-Окт-09, 13:18

> я в linux еще совсем новичек,tcpdumpом незнаю как его сюда прикрутить,
>но думаю что пакеты доходят так как по http из подсети
>192.168.5.0/24 в инет выходят, да и пинги проходят, а вот где
>логи посмотреть и что в них искать? Зашел в папку log
>а там куча папок, подскажите где смотреть и что?
Начните чтение отсюда: http://www.ipcop.org/1.4.0/en/admin/html/logs.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "неработает почтовый клиент из второй подсети" +/–

Сообщение от angra (ok) on 20-Окт-09, 13:15

Установите tcptraceroute и попробуйте им посмотреть где обрезается 25 порт. Пример
$ tcptraceroute ya.ru 25
Selected device ppp0, address x.x.x.x, port 59384 for outgoing packets
Tracing the path to ya.ru (213.180.204.8) on TCP port 25 (smtp), 30 hops max
1  192.168.13.1  0.436 ms  0.253 ms  0.222 ms
2  217.77.212.161  4.193 ms  0.801 ms  2.198 ms
3  217.77.214.1  0.770 ms  4.530 ms  2.787 ms
4  217.77.208.249  0.430 ms  0.532 ms  0.435 ms
5  * * *
Вот тут мой провайдер его зарезал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "неработает почтовый клиент из второй подсети" +/–

Сообщение от ges35 (ok) on 20-Окт-09, 16:26

думаю тут дело не в этом, если я пускаю tracert c компа из подсети 192.168.5.0  то трасерты даже наружу не выходят.пинги до шлюза 192.168.0.1 доходят спокойно и из подсети 192.168.0.0.
Вывод, рубится гдето между 192.168.0.1 и моим внешним ip.
Сегодня по совету Square пробовал смотреть tcpdumpом пингую 192.168.0.1 tcpdump видит icmp пакеты, пускаю пинги на мой внешний ip или например ya.ru tcpdump вообще молчит.Порылся еще в инете,и нашел сообщение от 2006г что там сложная настройка iptables и как то там все хитро настроенно, но сообщение 2006 потом были и сообщения что routing из gui не работал но я пробовал в стабильном релизе 2.2 все пашет , может и тут поправили.Но видимо в бесплатной версии специально, что то оставили.Если подсеть 192.168.5.0 подключить напрямую к шлюзу и на шлюзе поменять ip на 192.168.5.1 то все прекрасно работает и почта в том числе.
И логи тоже ничего по почте не показывают если отправляешь почту, оно и понятно если не пинги и не трасерты не проходят.По этому думаю надо крутить в направлении - разрешения подсети 192.168.5.0 проходить через 192.168.0.1 на внешний ip.
Подскажите как сделать в командной строке совсем не силен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "неработает почтовый клиент из второй подсети" +/–

Сообщение от angra (ok) on 21-Окт-09, 10:09

покажите iptables-save с 192.168.0.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "неработает почтовый клиент из второй подсети" +/–

Сообщение от ges35 (ok) on 21-Окт-09, 18:50

>покажите iptables-save с 192.168.0.1
-A INPUT -m state --state NEW -j INPUTTRAFFIC
-A INPUT -j LOG_INPUT
-A FORWARD -j ipac~fi
-A FORWARD -j ipac~fo
-A FORWARD -j OPENVPNCLIENTDHCP
-A FORWARD -j OPENVPNDHCP
-A FORWARD -j BADTCP
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j NEWNOTSYN
-A FORWARD -j CUSTOMFORWARD
-A FORWARD -m state --state RELATED,ESTABLISHED -j ALLOW
-A FORWARD -p icmp -j ICMP_LOGDROP
-A FORWARD -i lo -m state --state NEW -j ALLOW
-A FORWARD -s 127.0.0.0/255.0.0.0 -m state --state NEW -j DROP
-A FORWARD -d 127.0.0.0/255.0.0.0 -m state --state NEW -j DROP
-A FORWARD -j HAFORWARD
-A FORWARD -m state --state NEW -j PORTFWACCESS
-A FORWARD -j VPNTRAFFIC
-A FORWARD -m state --state NEW -j OUTGOINGFW
-A FORWARD -m state --state NEW -j ZONETRAFFIC
-A FORWARD -j LOG_FORWARD
-A INPUTFW -i eth2 -p tcp -m tcp --dport 22 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:1"
-A INPUTFW -i eth2 -p tcp -m tcp --dport 22 -j ALLOW
-A INPUTFW -i eth2 -p tcp -m tcp --dport 10443 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:2"
-A INPUTFW -i eth2 -p tcp -m tcp --dport 10443 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 80 -j NFLOG --nflog-prefix "ADMIN:ACCEPT:3"
-A INPUTFW -i br0 -p tcp -m tcp --dport 80 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 80 -j NFLOG --nflog-prefix "ADMIN:ACCEPT:3"
-A INPUTFW -i br2 -p tcp -m tcp --dport 80 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 80 -j NFLOG --nflog-prefix "ADMIN:ACCEPT:3"
-A INPUTFW -i br1 -p tcp -m tcp --dport 80 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 10443 -j NFLOG --nflog-prefix "ADMIN:ACCEPT:4"
-A INPUTFW -i br0 -p tcp -m tcp --dport 10443 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 3001 -j NFLOG --nflog-prefix "NTOP:ACCEPT:5"
-A INPUTFW -i br0 -p tcp -m tcp --dport 3001 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 3001 -j NFLOG --nflog-prefix "NTOP:ACCEPT:5"
-A INPUTFW -i br2 -p tcp -m tcp --dport 3001 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 3001 -j NFLOG --nflog-prefix "NTOP:ACCEPT:5"
-A INPUTFW -i br1 -p tcp -m tcp --dport 3001 -j ALLOW
-A INPUTFW -i br0 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j NFLOG --nflog-prefix "PING:ACCEPT:6"
-A INPUTFW -i br0 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j ALLOW
-A INPUTFW -i br0 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j NFLOG --nflog-prefix "PING:ACCEPT:6"
-A INPUTFW -i br0 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j ALLOW
-A INPUTFW -i br2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j NFLOG --nflog-prefix "PING:ACCEPT:6"
-A INPUTFW -i br2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j ALLOW
-A INPUTFW -i br2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j NFLOG --nflog-prefix "PING:ACCEPT:6"
-A INPUTFW -i br2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j ALLOW
-A INPUTFW -i br1 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j NFLOG --nflog-prefix "PING:ACCEPT:6"
-A INPUTFW -i br1 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j ALLOW
-A INPUTFW -i br1 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j NFLOG --nflog-prefix "PING:ACCEPT:6"
-A INPUTFW -i br1 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j ALLOW
-A INPUTFW -i ipsec+ -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j NFLOG --nflog-prefix "PING:ACCEPT:6"
-A INPUTFW -i ipsec+ -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j ALLOW
-A INPUTFW -i ipsec+ -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j NFLOG --nflog-prefix "PING:ACCEPT:6"
-A INPUTFW -i ipsec+ -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7"
-A INPUTFW -i br0 -p tcp -m tcp --dport 53 -j ALLOW
-A INPUTFW -i br0 -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7"
-A INPUTFW -i br0 -p udp -m udp --dport 53 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7"
-A INPUTFW -i br2 -p tcp -m tcp --dport 53 -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7"
-A INPUTFW -i br2 -p udp -m udp --dport 53 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7"
-A INPUTFW -i br1 -p tcp -m tcp --dport 53 -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7"
-A INPUTFW -i br1 -p udp -m udp --dport 53 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j ALLOW
-A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7"
-A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j NFLOG --nflog-prefix "SSH:ACCEPT:8"
-A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j ALLOW
-A INPUTFW -i eth2 -p gre -j NFLOG --nflog-prefix "IPSEC:ACCEPT:9"
-A INPUTFW -i eth2 -p gre -j ALLOW
-A INPUTFW -i eth2 -p esp -j NFLOG --nflog-prefix "IPSEC:ACCEPT:9"
-A INPUTFW -i eth2 -p esp -j ALLOW
-A INPUTFW -i eth2 -p ah -j NFLOG --nflog-prefix "IPSEC:ACCEPT:9"
-A INPUTFW -i eth2 -p ah -j ALLOW
-A INPUTFW -i eth2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:10"
-A INPUTFW -i eth2 -p udp -m udp --dport 500 -j ALLOW
-A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:10"
-A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j ALLOW
-A INPUTFW -i br2 -p gre -j NFLOG --nflog-prefix "IPSEC:ACCEPT:11"
-A INPUTFW -i br2 -p gre -j ALLOW
-A INPUTFW -i br2 -p esp -j NFLOG --nflog-prefix "IPSEC:ACCEPT:11"
-A INPUTFW -i br2 -p esp -j ALLOW
-A INPUTFW -i br2 -p ah -j NFLOG --nflog-prefix "IPSEC:ACCEPT:11"
-A INPUTFW -i br2 -p ah -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:12"
-A INPUTFW -i br2 -p udp -m udp --dport 500 -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:12"
-A INPUTFW -i br2 -p udp -m udp --dport 4500 -j ALLOW
-A INPUTFW -i br1 -p gre -j NFLOG --nflog-prefix "IPSEC:ACCEPT:13"
-A INPUTFW -i br1 -p gre -j ALLOW
-A INPUTFW -i br1 -p esp -j NFLOG --nflog-prefix "IPSEC:ACCEPT:13"
-A INPUTFW -i br1 -p esp -j ALLOW
-A INPUTFW -i br1 -p ah -j NFLOG --nflog-prefix "IPSEC:ACCEPT:13"
-A INPUTFW -i br1 -p ah -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:14"
-A INPUTFW -i br1 -p udp -m udp --dport 500 -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:14"
-A INPUTFW -i br1 -p udp -m udp --dport 4500 -j ALLOW
-A INPUTFW -i br0 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15"
-A INPUTFW -i br0 -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15"
-A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15"
-A INPUTFW -i br2 -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15"
-A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15"
-A INPUTFW -i br1 -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15"
-A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15"
-A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "HTTP:ACCEPT:16"
-A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "HTTP:ACCEPT:16"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "HTTP:ACCEPT:17"
-A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "HTTP:ACCEPT:18"
-A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW_LOGDROP -j DROP
-A INPUTTRAFFIC -i ipsec+ -j INPUTFW
-A INPUTTRAFFIC -i ipsec+ -j INPUTFW_LOGDROP
-A INPUTTRAFFIC -i tap+ -j INPUTFW
-A INPUTTRAFFIC -i tap+ -j INPUTFW_LOGDROP
-A INPUTTRAFFIC -m physdev  --physdev-in tap+ -j INPUTFW
-A INPUTTRAFFIC -m physdev  --physdev-in tap+ -j INPUTFW_LOGDROP
-A INPUTTRAFFIC -i br0 -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUTTRAFFIC -i br0 -j INPUTFW
-A INPUTTRAFFIC -i br0 -j INPUTFW_LOGDROP
-A INPUTTRAFFIC -j INPUTFW
-A NEWNOTSYN -i br0 -o br0 -j RETURN
-A NEWNOTSYN -i tap+ -j RETURN
-A NEWNOTSYN -o tap+ -j RETURN
-A NEWNOTSYN -j NEWNOTSYN_LOGDROP
-A NEWNOTSYN_LOGDROP -j DROP
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 80 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 80 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 443 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 443 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 21 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 25 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 110 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 143 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 995 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 993 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p udp -m udp --dport 53 -j ALLOW
-A OUTGOINGFW -i br1 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW
-A OUTGOINGFW -i br1 -o eth2 -p udp -m udp --dport 53 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p udp -m udp --dport 53 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW
-A OUTGOINGFW -i br1 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW
-A OUTGOINGFW -i br1 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW
-A OUTGOINGFW -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW
-A OUTGOINGFW -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW
-A OUTPUT -j ipac~i
-A OUTPUT -j CUSTOMOUTPUT
-A VPNFW -j ALLOW
-A VPNFW_LOGDROP -j DROP
-A VPNTRAFFIC -o ipsec+ -j VPNFW
-A VPNTRAFFIC -o ipsec+ -j VPNFW_LOGDROP
-A VPNTRAFFIC -i ipsec+ -j VPNFW
-A VPNTRAFFIC -i ipsec+ -j VPNFW_LOGDROP
-A VPNTRAFFIC -o tap+ -j VPNFW
-A VPNTRAFFIC -o tap+ -j VPNFW_LOGDROP
-A VPNTRAFFIC -i tap+ -j VPNFW
-A VPNTRAFFIC -i tap+ -j VPNFW_LOGDROP
-A VPNTRAFFIC -m physdev  --physdev-out tap+ --physdev-is-bridged -j VPNFW
-A VPNTRAFFIC -m physdev  --physdev-out tap+ --physdev-is-bridged -j VPNFW_LOGDROP
-A VPNTRAFFIC -m physdev  --physdev-in tap+ -j VPNFW
-A VPNTRAFFIC -m physdev  --physdev-in tap+ -j VPNFW_LOGDROP
-A ZONEFW -i br0 -o br0 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:1"
-A ZONEFW -i br0 -o br0 -j ALLOW
-A ZONEFW -i br0 -o br2 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:2"
-A ZONEFW -i br0 -o br2 -j ALLOW
-A ZONEFW -i br0 -o br1 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:3"
-A ZONEFW -i br0 -o br1 -j ALLOW
-A ZONEFW -i br2 -o br2 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:4"
-A ZONEFW -i br2 -o br2 -j ALLOW
-A ZONEFW -i br1 -o br1 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:5"
-A ZONEFW -i br1 -o br1 -j ALLOW
-A ZONEFW_LOGDROP -j DROP
-A ZONETRAFFIC -i br0 -o br0 -j ZONEFW
-A ZONETRAFFIC -i br0 -o br0 -j ZONEFW_LOGDROP
-A ipac~fi -i br0
-A ipac~fi -i eth2
-A ipac~fo -o br0
-A ipac~fo -o eth2
-A ipac~i -o br0
-A ipac~i -o eth2
-A ipac~o -i br0
-A ipac~o -i eth2
COMMIT
# Completed on Wed Oct 21 23:38:59 2009
# Generated by iptables-save v1.3.8 on Wed Oct 21 23:38:59 2009
*nat
:PREROUTING ACCEPT [15916:1182210]
:POSTROUTING ACCEPT [101:12180]
:OUTPUT ACCEPT [457:39172]
:CONTENTFILTER - [0:0]
:CUSTOMPOSTROUTING - [0:0]
:CUSTOMPREROUTING - [0:0]
:DNSMASQ - [0:0]
:OPENVPNCLIENT - [0:0]
:PORTFW - [0:0]
:POSTPORTFW - [0:0]
:SIPROXDPORTFW - [0:0]
:SMTPSCAN - [0:0]
:SOURCENAT - [0:0]
:SQUID - [0:0]
-A PREROUTING -j CUSTOMPREROUTING
-A PREROUTING -j SIPROXDPORTFW
-A PREROUTING -j CONTENTFILTER
-A PREROUTING -j SQUID
-A PREROUTING -j DNSMASQ
-A PREROUTING -j PORTFW
-A POSTROUTING -j CUSTOMPOSTROUTING
-A POSTROUTING -j OPENVPNCLIENT
-A POSTROUTING -j SOURCENAT
-A POSTROUTING -j POSTPORTFW
-A OUTPUT -j PORTFW
-A CUSTOMPREROUTING -p tcp -m tcp --dport 25 -j SMTPSCAN
-A SOURCENAT -o eth2 -j SNAT --to-source 10.10.10.1
COMMIT
# Completed on Wed Oct 21 23:38:59 2009
а вот ifconfig
br0       Link encap:Ethernet  HWaddr 00:04:AC:E6:DC:B9
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:27064 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1625 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2037971 (1.9 MiB)  TX bytes:488906 (477.4 KiB)
eth0      Link encap:Ethernet  HWaddr 00:04:AC:E6:DC:B9
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:27081 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1631 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2422118 (2.3 MiB)  TX bytes:489394 (477.9 KiB)
          Interrupt:20
eth1      Link encap:Ethernet  HWaddr 00:90:27:24:57:36
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:21
eth2      Link encap:Ethernet  HWaddr 00:17:31:0C:E8:5F
          inet addr:10.10.10.1  Bcast:10.10.10.255  Mask:255.255.255.0(ip вымышленный)
          inet6 addr: fe80::217:31ff:fe0c:e85f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:34415 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17438 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:27446329 (26.1 MiB)  TX bytes:2617228 (2.4 MiB)
          Interrupt:18
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:83 errors:0 dropped:0 overruns:0 frame:0
          TX packets:83 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:7396 (7.2 KiB)  TX bytes:7396 (7.2 KiB)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "неработает почтовый клиент из второй подсети" +/–

Сообщение от ges35 (ok) on 22-Окт-09, 09:13

сегодня переустановил, сделал iptables-save
получил вот что
-A INPUTFW -i br1 -p udp -m udp --dport 53 -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7"
-A INPUTFW -i br1 -p udp -m udp --dport 53 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7:l3"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j ALLOW
-A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7:l3"
-A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j ALLOW
-A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7"
-A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j ALLOW
-A INPUTFW -i eth2 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8:l3"
-A INPUTFW -i eth2 -p gre -j ALLOW
-A INPUTFW -i eth2 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8"
-A INPUTFW -i eth2 -p gre -j ALLOW
-A INPUTFW -i eth2 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8:l3"
-A INPUTFW -i eth2 -p esp -j ALLOW
-A INPUTFW -i eth2 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8"
-A INPUTFW -i eth2 -p esp -j ALLOW
-A INPUTFW -i eth2 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8:l3"
-A INPUTFW -i eth2 -p ah -j ALLOW
-A INPUTFW -i eth2 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8"
-A INPUTFW -i eth2 -p ah -j ALLOW
-A INPUTFW -i eth2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:9:l3"
-A INPUTFW -i eth2 -p udp -m udp --dport 500 -j ALLOW
-A INPUTFW -i eth2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:9"
-A INPUTFW -i eth2 -p udp -m udp --dport 500 -j ALLOW
-A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:9:l3"
-A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j ALLOW
-A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:9"
-A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j ALLOW
-A INPUTFW -i br2 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10:l3"
-A INPUTFW -i br2 -p gre -j ALLOW
-A INPUTFW -i br2 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10"
-A INPUTFW -i br2 -p gre -j ALLOW
-A INPUTFW -i br2 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10:l3"
-A INPUTFW -i br2 -p esp -j ALLOW
-A INPUTFW -i br2 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10"
-A INPUTFW -i br2 -p esp -j ALLOW
-A INPUTFW -i br2 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10:l3"
-A INPUTFW -i br2 -p ah -j ALLOW
-A INPUTFW -i br2 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10"
-A INPUTFW -i br2 -p ah -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:11:l3"
-A INPUTFW -i br2 -p udp -m udp --dport 500 -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:11"
-A INPUTFW -i br2 -p udp -m udp --dport 500 -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:11:l3"
-A INPUTFW -i br2 -p udp -m udp --dport 4500 -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:11"
-A INPUTFW -i br2 -p udp -m udp --dport 4500 -j ALLOW
-A INPUTFW -i br1 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12:l3"
-A INPUTFW -i br1 -p gre -j ALLOW
-A INPUTFW -i br1 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12"
-A INPUTFW -i br1 -p gre -j ALLOW
-A INPUTFW -i br1 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12:l3"
-A INPUTFW -i br1 -p esp -j ALLOW
-A INPUTFW -i br1 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12"
-A INPUTFW -i br1 -p esp -j ALLOW
-A INPUTFW -i br1 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12:l3"
-A INPUTFW -i br1 -p ah -j ALLOW
-A INPUTFW -i br1 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12"
-A INPUTFW -i br1 -p ah -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:13:l3"
-A INPUTFW -i br1 -p udp -m udp --dport 500 -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:13"
-A INPUTFW -i br1 -p udp -m udp --dport 500 -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:13:l3"
-A INPUTFW -i br1 -p udp -m udp --dport 4500 -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:13"
-A INPUTFW -i br1 -p udp -m udp --dport 4500 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:14:l3"
-A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:14"
-A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j ALLOW
-A INPUTFW -i br0 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3"
-A INPUTFW -i br0 -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i br0 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15"
-A INPUTFW -i br0 -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3"
-A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15"
-A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3"
-A INPUTFW -i br2 -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i br2 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15"
-A INPUTFW -i br2 -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3"
-A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15"
-A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3"
-A INPUTFW -i br1 -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i br1 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15"
-A INPUTFW -i br1 -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3"
-A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15"
-A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3"
-A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15"
-A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16:l3"
-A INPUTFW -i br0 -p tcp -m tcp --dport 8110 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16"
-A INPUTFW -i br0 -p tcp -m tcp --dport 8110 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16:l3"
-A INPUTFW -i br2 -p tcp -m tcp --dport 8110 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16"
-A INPUTFW -i br2 -p tcp -m tcp --dport 8110 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16:l3"
-A INPUTFW -i br1 -p tcp -m tcp --dport 8110 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16"
-A INPUTFW -i br1 -p tcp -m tcp --dport 8110 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16:l3"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8110 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8110 -j ALLOW
-A INPUTFW -p tcp -m tcp --dport 25 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:17:l3"
-A INPUTFW -p tcp -m tcp --dport 25 -j ALLOW
-A INPUTFW -p tcp -m tcp --dport 25 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:17"
-A INPUTFW -p tcp -m tcp --dport 25 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:18:l3"
-A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:18"
-A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:18:l3"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:18"
-A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:19:l3"
-A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:19"
-A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:20:l3"
-A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:20"
-A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j ALLOW
-A INPUTFW_LOGDROP -j DROP
-A INPUTTRAFFIC -i ipsec+ -j INPUTFW
-A INPUTTRAFFIC -i ipsec+ -j INPUTFW_LOGDROP
-A INPUTTRAFFIC -i tap+ -j INPUTFW
-A INPUTTRAFFIC -i tap+ -j INPUTFW_LOGDROP
-A INPUTTRAFFIC -m physdev  --physdev-in tap+ -j INPUTFW
-A INPUTTRAFFIC -m physdev  --physdev-in tap+ -j INPUTFW_LOGDROP
-A INPUTTRAFFIC -i br0 -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUTTRAFFIC -i br0 -j INPUTFW
-A INPUTTRAFFIC -i br0 -j INPUTFW_LOGDROP
-A INPUTTRAFFIC -j INPUTFW
-A NEWNOTSYN -i br0 -o br0 -j RETURN
-A NEWNOTSYN -i tap+ -j RETURN
-A NEWNOTSYN -o tap+ -j RETURN
-A NEWNOTSYN -j NEWNOTSYN_LOGDROP
-A NEWNOTSYN_LOGDROP -j DROP
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 80 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 80 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 443 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 443 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 21 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 25 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 110 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 143 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 995 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 993 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p udp -m udp --dport 53 -j ALLOW
-A OUTGOINGFW -i br1 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW
-A OUTGOINGFW -i br1 -o eth2 -p udp -m udp --dport 53 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p udp -m udp --dport 53 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW
-A OUTGOINGFW -i br0 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW
-A OUTGOINGFW -i br1 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW
-A OUTGOINGFW -i br1 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW
-A OUTGOINGFW -i br2 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW
-A OUTGOINGFW -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW
-A OUTGOINGFW -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW
-A OUTPUT -j ipac~i
-A OUTPUT -j CUSTOMOUTPUT
-A VPNFW -j ALLOW
-A VPNFW_LOGDROP -j DROP
-A VPNTRAFFIC -o ipsec+ -j VPNFW
-A VPNTRAFFIC -o ipsec+ -j VPNFW_LOGDROP
-A VPNTRAFFIC -i ipsec+ -j VPNFW
-A VPNTRAFFIC -i ipsec+ -j VPNFW_LOGDROP
-A VPNTRAFFIC -o tap+ -j VPNFW
-A VPNTRAFFIC -o tap+ -j VPNFW_LOGDROP
-A VPNTRAFFIC -i tap+ -j VPNFW
-A VPNTRAFFIC -i tap+ -j VPNFW_LOGDROP
-A VPNTRAFFIC -m physdev  --physdev-out tap+ --physdev-is-bridged -j VPNFW
-A VPNTRAFFIC -m physdev  --physdev-out tap+ --physdev-is-bridged -j VPNFW_LOGDROP
-A VPNTRAFFIC -m physdev  --physdev-in tap+ -j VPNFW
-A VPNTRAFFIC -m physdev  --physdev-in tap+ -j VPNFW_LOGDROP
-A ZONEFW -i br0 -o br0 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:1:l3"
-A ZONEFW -i br0 -o br0 -j ALLOW
-A ZONEFW -i br0 -o br2 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:2:l3"
-A ZONEFW -i br0 -o br2 -j ALLOW
-A ZONEFW -i br0 -o br1 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:3:l3"
-A ZONEFW -i br0 -o br1 -j ALLOW
-A ZONEFW -i br2 -o br2 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:4:l3"
-A ZONEFW -i br2 -o br2 -j ALLOW
-A ZONEFW -i br1 -o br1 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:5:l3"
-A ZONEFW -i br1 -o br1 -j ALLOW
-A ZONEFW_LOGDROP -j DROP
-A ZONETRAFFIC -i br0 -o br0 -j ZONEFW
-A ZONETRAFFIC -i br0 -o br0 -j ZONEFW_LOGDROP
-A ipac~fi -i br0
-A ipac~fi -i eth2
-A ipac~fo -o br0
-A ipac~fo -o eth2
-A ipac~i -o br0
-A ipac~i -o eth2
-A ipac~o -i br0
-A ipac~o -i eth2
COMMIT
# Completed on Thu Oct 22 14:00:03 2009
# Generated by iptables-save v1.3.8 on Thu Oct 22 14:00:03 2009
*nat
:PREROUTING ACCEPT [1904:157228]
:POSTROUTING ACCEPT [1153:55334]
:OUTPUT ACCEPT [1590:77239]
:CONTENTFILTER - [0:0]
:CUSTOMPOSTROUTING - [0:0]
:CUSTOMPREROUTING - [0:0]
:DNSMASQ - [0:0]
:OPENVPNCLIENT - [0:0]
:PORTFW - [0:0]
:POSTPORTFW - [0:0]
:PROXIES - [0:0]
:SIPROXDPORTFW - [0:0]
:SOURCENAT - [0:0]
:SQUID - [0:0]
-A PREROUTING -j CUSTOMPREROUTING
-A PREROUTING -j PROXIES
-A PREROUTING -j PORTFW
-A PREROUTING -j SIPROXDPORTFW
-A PREROUTING -j CONTENTFILTER
-A PREROUTING -j SQUID
-A PREROUTING -j DNSMASQ
-A POSTROUTING -j CUSTOMPOSTROUTING
-A POSTROUTING -j OPENVPNCLIENT
-A POSTROUTING -j SOURCENAT
-A POSTROUTING -j POSTPORTFW
-A OUTPUT -j PORTFW
-A PROXIES -i br0 -p tcp -m tcp --dport 110 -m state --state NEW -j NFLOG --nflog-prefix "PROXIES:POP-PROXY:-"
-A PROXIES -i br0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.1:8110
-A PROXIES -i br0 -p tcp -m tcp --dport 995 -m state --state NEW -j NFLOG --nflog-prefix "PROXIES:POP-PROXY:-"
-A PROXIES -i br0 -p tcp -m tcp --dport 995 -j DNAT --to-destination 192.168.0.1:8110
-A PROXIES -i br0 -p tcp -m tcp --dport 25 -m state --state NEW -j NFLOG --nflog-prefix "PROXIES:SMTP-PROXY:-"
-A PROXIES -i br0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.1:25
-A SOURCENAT -o eth2 -j SNAT --to-source 10.10.10.1
COMMIT
# Completed on Thu Oct 22 14:00:03 2009

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "неработает почтовый клиент из второй подсети"		+/–
Сообщение от Square (ok) on 17-Окт-09, 14:27
>[оверквотинг удален] >На Endian Firewall сделан шлюз в инет. Завел я шлюз в домен >настроил, с подсетью 192.168.0.0/24 все прекрасно работает и инет через squid > и почтовые клиенты типа the bat работают.Настроил я на шлюзе >роутер для подсети 192.168.5.0/24 , само собой cisco настроена на шлюз, >внутренний ip шлюза 192.168.0.1 Проверяю, пнги идут, достучаться до машин в >подсети 192.168.5.0/24 тоже можно и прокси тоже работает по http пускает, >а вот почтовые клиенты нивкакую нихотят работать, где и что нужно >крутить, может плохо искал, но уже и англоязычные их сайты перерыл >и так кучу инфы прочитал, а понять немогу, что и где >крутить. Проследить tcpdumpом путь прохождения пакетиков из сети 192.168.5.0/24 к шлюзу. Убедиться что на шлюз они приходят. Ну и смотреть логи шлюза -по какой причине он их не пропускает.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "неработает почтовый клиент из второй подсети"		+/–
	Сообщение от ges35 (ok) on 19-Окт-09, 06:42
	я в linux еще совсем новичек,tcpdumpом незнаю как его сюда прикрутить, но думаю что пакеты доходят так как по http из подсети 192.168.5.0/24 в инет выходят, да и пинги проходят, а вот где логи посмотреть и что в них искать? Зашел в папку log а там куча папок, подскажите где смотреть и что?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "неработает почтовый клиент из второй подсети"		+/–
	Сообщение от Square (ok) on 19-Окт-09, 13:18
	> я в linux еще совсем новичек,tcpdumpом незнаю как его сюда прикрутить, >но думаю что пакеты доходят так как по http из подсети >192.168.5.0/24 в инет выходят, да и пинги проходят, а вот где >логи посмотреть и что в них искать? Зашел в папку log >а там куча папок, подскажите где смотреть и что? Начните чтение отсюда: http://www.ipcop.org/1.4.0/en/admin/html/logs.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "неработает почтовый клиент из второй подсети"		+/–
Сообщение от angra (ok) on 20-Окт-09, 13:15
Установите tcptraceroute и попробуйте им посмотреть где обрезается 25 порт. Пример $ tcptraceroute ya.ru 25 Selected device ppp0, address x.x.x.x, port 59384 for outgoing packets Tracing the path to ya.ru (213.180.204.8) on TCP port 25 (smtp), 30 hops max 1 192.168.13.1 0.436 ms 0.253 ms 0.222 ms 2 217.77.212.161 4.193 ms 0.801 ms 2.198 ms 3 217.77.214.1 0.770 ms 4.530 ms 2.787 ms 4 217.77.208.249 0.430 ms 0.532 ms 0.435 ms 5 * * * Вот тут мой провайдер его зарезал.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "неработает почтовый клиент из второй подсети"		+/–
	Сообщение от ges35 (ok) on 20-Окт-09, 16:26
	думаю тут дело не в этом, если я пускаю tracert c компа из подсети 192.168.5.0 то трасерты даже наружу не выходят.пинги до шлюза 192.168.0.1 доходят спокойно и из подсети 192.168.0.0. Вывод, рубится гдето между 192.168.0.1 и моим внешним ip. Сегодня по совету Square пробовал смотреть tcpdumpом пингую 192.168.0.1 tcpdump видит icmp пакеты, пускаю пинги на мой внешний ip или например ya.ru tcpdump вообще молчит.Порылся еще в инете,и нашел сообщение от 2006г что там сложная настройка iptables и как то там все хитро настроенно, но сообщение 2006 потом были и сообщения что routing из gui не работал но я пробовал в стабильном релизе 2.2 все пашет , может и тут поправили.Но видимо в бесплатной версии специально, что то оставили.Если подсеть 192.168.5.0 подключить напрямую к шлюзу и на шлюзе поменять ip на 192.168.5.1 то все прекрасно работает и почта в том числе. И логи тоже ничего по почте не показывают если отправляешь почту, оно и понятно если не пинги и не трасерты не проходят.По этому думаю надо крутить в направлении - разрешения подсети 192.168.5.0 проходить через 192.168.0.1 на внешний ip. Подскажите как сделать в командной строке совсем не силен.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "неработает почтовый клиент из второй подсети"		+/–
	Сообщение от angra (ok) on 21-Окт-09, 10:09
	покажите iptables-save с 192.168.0.1
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "неработает почтовый клиент из второй подсети"		+/–
	Сообщение от ges35 (ok) on 21-Окт-09, 18:50
	>покажите iptables-save с 192.168.0.1 -A INPUT -m state --state NEW -j INPUTTRAFFIC -A INPUT -j LOG_INPUT -A FORWARD -j ipac~fi -A FORWARD -j ipac~fo -A FORWARD -j OPENVPNCLIENTDHCP -A FORWARD -j OPENVPNDHCP -A FORWARD -j BADTCP -A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j NEWNOTSYN -A FORWARD -j CUSTOMFORWARD -A FORWARD -m state --state RELATED,ESTABLISHED -j ALLOW -A FORWARD -p icmp -j ICMP_LOGDROP -A FORWARD -i lo -m state --state NEW -j ALLOW -A FORWARD -s 127.0.0.0/255.0.0.0 -m state --state NEW -j DROP -A FORWARD -d 127.0.0.0/255.0.0.0 -m state --state NEW -j DROP -A FORWARD -j HAFORWARD -A FORWARD -m state --state NEW -j PORTFWACCESS -A FORWARD -j VPNTRAFFIC -A FORWARD -m state --state NEW -j OUTGOINGFW -A FORWARD -m state --state NEW -j ZONETRAFFIC -A FORWARD -j LOG_FORWARD -A INPUTFW -i eth2 -p tcp -m tcp --dport 22 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:1" -A INPUTFW -i eth2 -p tcp -m tcp --dport 22 -j ALLOW -A INPUTFW -i eth2 -p tcp -m tcp --dport 10443 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:2" -A INPUTFW -i eth2 -p tcp -m tcp --dport 10443 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 80 -j NFLOG --nflog-prefix "ADMIN:ACCEPT:3" -A INPUTFW -i br0 -p tcp -m tcp --dport 80 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 80 -j NFLOG --nflog-prefix "ADMIN:ACCEPT:3" -A INPUTFW -i br2 -p tcp -m tcp --dport 80 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 80 -j NFLOG --nflog-prefix "ADMIN:ACCEPT:3" -A INPUTFW -i br1 -p tcp -m tcp --dport 80 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 10443 -j NFLOG --nflog-prefix "ADMIN:ACCEPT:4" -A INPUTFW -i br0 -p tcp -m tcp --dport 10443 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 3001 -j NFLOG --nflog-prefix "NTOP:ACCEPT:5" -A INPUTFW -i br0 -p tcp -m tcp --dport 3001 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 3001 -j NFLOG --nflog-prefix "NTOP:ACCEPT:5" -A INPUTFW -i br2 -p tcp -m tcp --dport 3001 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 3001 -j NFLOG --nflog-prefix "NTOP:ACCEPT:5" -A INPUTFW -i br1 -p tcp -m tcp --dport 3001 -j ALLOW -A INPUTFW -i br0 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j NFLOG --nflog-prefix "PING:ACCEPT:6" -A INPUTFW -i br0 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j ALLOW -A INPUTFW -i br0 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j NFLOG --nflog-prefix "PING:ACCEPT:6" -A INPUTFW -i br0 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j ALLOW -A INPUTFW -i br2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j NFLOG --nflog-prefix "PING:ACCEPT:6" -A INPUTFW -i br2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j ALLOW -A INPUTFW -i br2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j NFLOG --nflog-prefix "PING:ACCEPT:6" -A INPUTFW -i br2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j ALLOW -A INPUTFW -i br1 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j NFLOG --nflog-prefix "PING:ACCEPT:6" -A INPUTFW -i br1 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j ALLOW -A INPUTFW -i br1 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j NFLOG --nflog-prefix "PING:ACCEPT:6" -A INPUTFW -i br1 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j ALLOW -A INPUTFW -i ipsec+ -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j NFLOG --nflog-prefix "PING:ACCEPT:6" -A INPUTFW -i ipsec+ -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 8 -j ALLOW -A INPUTFW -i ipsec+ -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j NFLOG --nflog-prefix "PING:ACCEPT:6" -A INPUTFW -i ipsec+ -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name xticmp -m icmp --icmp-type 30 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7" -A INPUTFW -i br0 -p tcp -m tcp --dport 53 -j ALLOW -A INPUTFW -i br0 -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7" -A INPUTFW -i br0 -p udp -m udp --dport 53 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7" -A INPUTFW -i br2 -p tcp -m tcp --dport 53 -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7" -A INPUTFW -i br2 -p udp -m udp --dport 53 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7" -A INPUTFW -i br1 -p tcp -m tcp --dport 53 -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7" -A INPUTFW -i br1 -p udp -m udp --dport 53 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j ALLOW -A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "DNS:ACCEPT:7" -A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j NFLOG --nflog-prefix "SSH:ACCEPT:8" -A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j ALLOW -A INPUTFW -i eth2 -p gre -j NFLOG --nflog-prefix "IPSEC:ACCEPT:9" -A INPUTFW -i eth2 -p gre -j ALLOW -A INPUTFW -i eth2 -p esp -j NFLOG --nflog-prefix "IPSEC:ACCEPT:9" -A INPUTFW -i eth2 -p esp -j ALLOW -A INPUTFW -i eth2 -p ah -j NFLOG --nflog-prefix "IPSEC:ACCEPT:9" -A INPUTFW -i eth2 -p ah -j ALLOW -A INPUTFW -i eth2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:10" -A INPUTFW -i eth2 -p udp -m udp --dport 500 -j ALLOW -A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:10" -A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j ALLOW -A INPUTFW -i br2 -p gre -j NFLOG --nflog-prefix "IPSEC:ACCEPT:11" -A INPUTFW -i br2 -p gre -j ALLOW -A INPUTFW -i br2 -p esp -j NFLOG --nflog-prefix "IPSEC:ACCEPT:11" -A INPUTFW -i br2 -p esp -j ALLOW -A INPUTFW -i br2 -p ah -j NFLOG --nflog-prefix "IPSEC:ACCEPT:11" -A INPUTFW -i br2 -p ah -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:12" -A INPUTFW -i br2 -p udp -m udp --dport 500 -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:12" -A INPUTFW -i br2 -p udp -m udp --dport 4500 -j ALLOW -A INPUTFW -i br1 -p gre -j NFLOG --nflog-prefix "IPSEC:ACCEPT:13" -A INPUTFW -i br1 -p gre -j ALLOW -A INPUTFW -i br1 -p esp -j NFLOG --nflog-prefix "IPSEC:ACCEPT:13" -A INPUTFW -i br1 -p esp -j ALLOW -A INPUTFW -i br1 -p ah -j NFLOG --nflog-prefix "IPSEC:ACCEPT:13" -A INPUTFW -i br1 -p ah -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:14" -A INPUTFW -i br1 -p udp -m udp --dport 500 -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "IPSEC:ACCEPT:14" -A INPUTFW -i br1 -p udp -m udp --dport 4500 -j ALLOW -A INPUTFW -i br0 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15" -A INPUTFW -i br0 -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15" -A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15" -A INPUTFW -i br2 -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15" -A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15" -A INPUTFW -i br1 -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15" -A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15" -A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "NTP:ACCEPT:15" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "HTTP:ACCEPT:16" -A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "HTTP:ACCEPT:16" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "HTTP:ACCEPT:17" -A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "HTTP:ACCEPT:18" -A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW_LOGDROP -j DROP -A INPUTTRAFFIC -i ipsec+ -j INPUTFW -A INPUTTRAFFIC -i ipsec+ -j INPUTFW_LOGDROP -A INPUTTRAFFIC -i tap+ -j INPUTFW -A INPUTTRAFFIC -i tap+ -j INPUTFW_LOGDROP -A INPUTTRAFFIC -m physdev --physdev-in tap+ -j INPUTFW -A INPUTTRAFFIC -m physdev --physdev-in tap+ -j INPUTFW_LOGDROP -A INPUTTRAFFIC -i br0 -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable -A INPUTTRAFFIC -i br0 -j INPUTFW -A INPUTTRAFFIC -i br0 -j INPUTFW_LOGDROP -A INPUTTRAFFIC -j INPUTFW -A NEWNOTSYN -i br0 -o br0 -j RETURN -A NEWNOTSYN -i tap+ -j RETURN -A NEWNOTSYN -o tap+ -j RETURN -A NEWNOTSYN -j NEWNOTSYN_LOGDROP -A NEWNOTSYN_LOGDROP -j DROP -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 80 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 80 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 443 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 443 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 21 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 25 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 110 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 143 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 995 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 993 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p udp -m udp --dport 53 -j ALLOW -A OUTGOINGFW -i br1 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW -A OUTGOINGFW -i br1 -o eth2 -p udp -m udp --dport 53 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p udp -m udp --dport 53 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW -A OUTGOINGFW -i br1 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW -A OUTGOINGFW -i br1 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW -A OUTGOINGFW -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW -A OUTGOINGFW -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW -A OUTPUT -j ipac~i -A OUTPUT -j CUSTOMOUTPUT -A VPNFW -j ALLOW -A VPNFW_LOGDROP -j DROP -A VPNTRAFFIC -o ipsec+ -j VPNFW -A VPNTRAFFIC -o ipsec+ -j VPNFW_LOGDROP -A VPNTRAFFIC -i ipsec+ -j VPNFW -A VPNTRAFFIC -i ipsec+ -j VPNFW_LOGDROP -A VPNTRAFFIC -o tap+ -j VPNFW -A VPNTRAFFIC -o tap+ -j VPNFW_LOGDROP -A VPNTRAFFIC -i tap+ -j VPNFW -A VPNTRAFFIC -i tap+ -j VPNFW_LOGDROP -A VPNTRAFFIC -m physdev --physdev-out tap+ --physdev-is-bridged -j VPNFW -A VPNTRAFFIC -m physdev --physdev-out tap+ --physdev-is-bridged -j VPNFW_LOGDROP -A VPNTRAFFIC -m physdev --physdev-in tap+ -j VPNFW -A VPNTRAFFIC -m physdev --physdev-in tap+ -j VPNFW_LOGDROP -A ZONEFW -i br0 -o br0 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:1" -A ZONEFW -i br0 -o br0 -j ALLOW -A ZONEFW -i br0 -o br2 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:2" -A ZONEFW -i br0 -o br2 -j ALLOW -A ZONEFW -i br0 -o br1 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:3" -A ZONEFW -i br0 -o br1 -j ALLOW -A ZONEFW -i br2 -o br2 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:4" -A ZONEFW -i br2 -o br2 -j ALLOW -A ZONEFW -i br1 -o br1 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:5" -A ZONEFW -i br1 -o br1 -j ALLOW -A ZONEFW_LOGDROP -j DROP -A ZONETRAFFIC -i br0 -o br0 -j ZONEFW -A ZONETRAFFIC -i br0 -o br0 -j ZONEFW_LOGDROP -A ipac~fi -i br0 -A ipac~fi -i eth2 -A ipac~fo -o br0 -A ipac~fo -o eth2 -A ipac~i -o br0 -A ipac~i -o eth2 -A ipac~o -i br0 -A ipac~o -i eth2 COMMIT # Completed on Wed Oct 21 23:38:59 2009 # Generated by iptables-save v1.3.8 on Wed Oct 21 23:38:59 2009 *nat :PREROUTING ACCEPT [15916:1182210] :POSTROUTING ACCEPT [101:12180] :OUTPUT ACCEPT [457:39172] :CONTENTFILTER - [0:0] :CUSTOMPOSTROUTING - [0:0] :CUSTOMPREROUTING - [0:0] :DNSMASQ - [0:0] :OPENVPNCLIENT - [0:0] :PORTFW - [0:0] :POSTPORTFW - [0:0] :SIPROXDPORTFW - [0:0] :SMTPSCAN - [0:0] :SOURCENAT - [0:0] :SQUID - [0:0] -A PREROUTING -j CUSTOMPREROUTING -A PREROUTING -j SIPROXDPORTFW -A PREROUTING -j CONTENTFILTER -A PREROUTING -j SQUID -A PREROUTING -j DNSMASQ -A PREROUTING -j PORTFW -A POSTROUTING -j CUSTOMPOSTROUTING -A POSTROUTING -j OPENVPNCLIENT -A POSTROUTING -j SOURCENAT -A POSTROUTING -j POSTPORTFW -A OUTPUT -j PORTFW -A CUSTOMPREROUTING -p tcp -m tcp --dport 25 -j SMTPSCAN -A SOURCENAT -o eth2 -j SNAT --to-source 10.10.10.1 COMMIT # Completed on Wed Oct 21 23:38:59 2009 а вот ifconfig br0 Link encap:Ethernet HWaddr 00:04:AC:E6:DC:B9 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:27064 errors:0 dropped:0 overruns:0 frame:0 TX packets:1625 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2037971 (1.9 MiB) TX bytes:488906 (477.4 KiB) eth0 Link encap:Ethernet HWaddr 00:04:AC:E6:DC:B9 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:27081 errors:0 dropped:0 overruns:0 frame:0 TX packets:1631 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2422118 (2.3 MiB) TX bytes:489394 (477.9 KiB) Interrupt:20 eth1 Link encap:Ethernet HWaddr 00:90:27:24:57:36 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:21 eth2 Link encap:Ethernet HWaddr 00:17:31:0C:E8:5F inet addr:10.10.10.1 Bcast:10.10.10.255 Mask:255.255.255.0(ip вымышленный) inet6 addr: fe80::217:31ff:fe0c:e85f/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:34415 errors:0 dropped:0 overruns:0 frame:0 TX packets:17438 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:27446329 (26.1 MiB) TX bytes:2617228 (2.4 MiB) Interrupt:18 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:83 errors:0 dropped:0 overruns:0 frame:0 TX packets:83 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:7396 (7.2 KiB) TX bytes:7396 (7.2 KiB)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "неработает почтовый клиент из второй подсети"		+/–
	Сообщение от ges35 (ok) on 22-Окт-09, 09:13
	сегодня переустановил, сделал iptables-save получил вот что -A INPUTFW -i br1 -p udp -m udp --dport 53 -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7" -A INPUTFW -i br1 -p udp -m udp --dport 53 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7:l3" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 53 -j ALLOW -A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7:l3" -A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j ALLOW -A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:7" -A INPUTFW -i ipsec+ -p udp -m udp --dport 53 -j ALLOW -A INPUTFW -i eth2 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8:l3" -A INPUTFW -i eth2 -p gre -j ALLOW -A INPUTFW -i eth2 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8" -A INPUTFW -i eth2 -p gre -j ALLOW -A INPUTFW -i eth2 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8:l3" -A INPUTFW -i eth2 -p esp -j ALLOW -A INPUTFW -i eth2 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8" -A INPUTFW -i eth2 -p esp -j ALLOW -A INPUTFW -i eth2 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8:l3" -A INPUTFW -i eth2 -p ah -j ALLOW -A INPUTFW -i eth2 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:8" -A INPUTFW -i eth2 -p ah -j ALLOW -A INPUTFW -i eth2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:9:l3" -A INPUTFW -i eth2 -p udp -m udp --dport 500 -j ALLOW -A INPUTFW -i eth2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:9" -A INPUTFW -i eth2 -p udp -m udp --dport 500 -j ALLOW -A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:9:l3" -A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j ALLOW -A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:9" -A INPUTFW -i eth2 -p udp -m udp --dport 4500 -j ALLOW -A INPUTFW -i br2 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10:l3" -A INPUTFW -i br2 -p gre -j ALLOW -A INPUTFW -i br2 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10" -A INPUTFW -i br2 -p gre -j ALLOW -A INPUTFW -i br2 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10:l3" -A INPUTFW -i br2 -p esp -j ALLOW -A INPUTFW -i br2 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10" -A INPUTFW -i br2 -p esp -j ALLOW -A INPUTFW -i br2 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10:l3" -A INPUTFW -i br2 -p ah -j ALLOW -A INPUTFW -i br2 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:10" -A INPUTFW -i br2 -p ah -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:11:l3" -A INPUTFW -i br2 -p udp -m udp --dport 500 -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:11" -A INPUTFW -i br2 -p udp -m udp --dport 500 -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:11:l3" -A INPUTFW -i br2 -p udp -m udp --dport 4500 -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:11" -A INPUTFW -i br2 -p udp -m udp --dport 4500 -j ALLOW -A INPUTFW -i br1 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12:l3" -A INPUTFW -i br1 -p gre -j ALLOW -A INPUTFW -i br1 -p gre -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12" -A INPUTFW -i br1 -p gre -j ALLOW -A INPUTFW -i br1 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12:l3" -A INPUTFW -i br1 -p esp -j ALLOW -A INPUTFW -i br1 -p esp -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12" -A INPUTFW -i br1 -p esp -j ALLOW -A INPUTFW -i br1 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12:l3" -A INPUTFW -i br1 -p ah -j ALLOW -A INPUTFW -i br1 -p ah -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:12" -A INPUTFW -i br1 -p ah -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:13:l3" -A INPUTFW -i br1 -p udp -m udp --dport 500 -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:13" -A INPUTFW -i br1 -p udp -m udp --dport 500 -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:13:l3" -A INPUTFW -i br1 -p udp -m udp --dport 4500 -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 4500 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:13" -A INPUTFW -i br1 -p udp -m udp --dport 4500 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:14:l3" -A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:14" -A INPUTFW -i br0 -p tcp -m tcp --dport 22 -j ALLOW -A INPUTFW -i br0 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3" -A INPUTFW -i br0 -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i br0 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15" -A INPUTFW -i br0 -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3" -A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15" -A INPUTFW -i br0 -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3" -A INPUTFW -i br2 -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i br2 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15" -A INPUTFW -i br2 -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3" -A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15" -A INPUTFW -i br2 -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3" -A INPUTFW -i br1 -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i br1 -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15" -A INPUTFW -i br1 -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3" -A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15" -A INPUTFW -i br1 -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3" -A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15" -A INPUTFW -i ipsec+ -p udp -m udp --dport 123 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15:l3" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:15" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 123 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16:l3" -A INPUTFW -i br0 -p tcp -m tcp --dport 8110 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16" -A INPUTFW -i br0 -p tcp -m tcp --dport 8110 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16:l3" -A INPUTFW -i br2 -p tcp -m tcp --dport 8110 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16" -A INPUTFW -i br2 -p tcp -m tcp --dport 8110 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16:l3" -A INPUTFW -i br1 -p tcp -m tcp --dport 8110 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16" -A INPUTFW -i br1 -p tcp -m tcp --dport 8110 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16:l3" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8110 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8110 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:16" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8110 -j ALLOW -A INPUTFW -p tcp -m tcp --dport 25 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:17:l3" -A INPUTFW -p tcp -m tcp --dport 25 -j ALLOW -A INPUTFW -p tcp -m tcp --dport 25 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:17" -A INPUTFW -p tcp -m tcp --dport 25 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:18:l3" -A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:18" -A INPUTFW -i br0 -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:18:l3" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:18" -A INPUTFW -i ipsec+ -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:19:l3" -A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:19" -A INPUTFW -i br2 -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:20:l3" -A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j NFLOG --nflog-prefix "INPUTFW:ACCEPT:20" -A INPUTFW -i br1 -p tcp -m tcp --dport 8080 -j ALLOW -A INPUTFW_LOGDROP -j DROP -A INPUTTRAFFIC -i ipsec+ -j INPUTFW -A INPUTTRAFFIC -i ipsec+ -j INPUTFW_LOGDROP -A INPUTTRAFFIC -i tap+ -j INPUTFW -A INPUTTRAFFIC -i tap+ -j INPUTFW_LOGDROP -A INPUTTRAFFIC -m physdev --physdev-in tap+ -j INPUTFW -A INPUTTRAFFIC -m physdev --physdev-in tap+ -j INPUTFW_LOGDROP -A INPUTTRAFFIC -i br0 -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable -A INPUTTRAFFIC -i br0 -j INPUTFW -A INPUTTRAFFIC -i br0 -j INPUTFW_LOGDROP -A INPUTTRAFFIC -j INPUTFW -A NEWNOTSYN -i br0 -o br0 -j RETURN -A NEWNOTSYN -i tap+ -j RETURN -A NEWNOTSYN -o tap+ -j RETURN -A NEWNOTSYN -j NEWNOTSYN_LOGDROP -A NEWNOTSYN_LOGDROP -j DROP -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 80 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 80 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 443 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 443 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 21 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 25 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 110 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 143 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 995 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 993 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p udp -m udp --dport 53 -j ALLOW -A OUTGOINGFW -i br1 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW -A OUTGOINGFW -i br1 -o eth2 -p udp -m udp --dport 53 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p tcp -m tcp --dport 53 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p udp -m udp --dport 53 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW -A OUTGOINGFW -i br0 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW -A OUTGOINGFW -i br1 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW -A OUTGOINGFW -i br1 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW -A OUTGOINGFW -i br2 -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW -A OUTGOINGFW -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 8 -j ALLOW -A OUTGOINGFW -o eth2 -p icmp -m hashlimit --hashlimit 3/sec --hashlimit-mode srcip,dstip --hashlimit-name outicmp -m icmp --icmp-type 30 -j ALLOW -A OUTPUT -j ipac~i -A OUTPUT -j CUSTOMOUTPUT -A VPNFW -j ALLOW -A VPNFW_LOGDROP -j DROP -A VPNTRAFFIC -o ipsec+ -j VPNFW -A VPNTRAFFIC -o ipsec+ -j VPNFW_LOGDROP -A VPNTRAFFIC -i ipsec+ -j VPNFW -A VPNTRAFFIC -i ipsec+ -j VPNFW_LOGDROP -A VPNTRAFFIC -o tap+ -j VPNFW -A VPNTRAFFIC -o tap+ -j VPNFW_LOGDROP -A VPNTRAFFIC -i tap+ -j VPNFW -A VPNTRAFFIC -i tap+ -j VPNFW_LOGDROP -A VPNTRAFFIC -m physdev --physdev-out tap+ --physdev-is-bridged -j VPNFW -A VPNTRAFFIC -m physdev --physdev-out tap+ --physdev-is-bridged -j VPNFW_LOGDROP -A VPNTRAFFIC -m physdev --physdev-in tap+ -j VPNFW -A VPNTRAFFIC -m physdev --physdev-in tap+ -j VPNFW_LOGDROP -A ZONEFW -i br0 -o br0 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:1:l3" -A ZONEFW -i br0 -o br0 -j ALLOW -A ZONEFW -i br0 -o br2 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:2:l3" -A ZONEFW -i br0 -o br2 -j ALLOW -A ZONEFW -i br0 -o br1 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:3:l3" -A ZONEFW -i br0 -o br1 -j ALLOW -A ZONEFW -i br2 -o br2 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:4:l3" -A ZONEFW -i br2 -o br2 -j ALLOW -A ZONEFW -i br1 -o br1 -j NFLOG --nflog-prefix "ZONEFW:ACCEPT:5:l3" -A ZONEFW -i br1 -o br1 -j ALLOW -A ZONEFW_LOGDROP -j DROP -A ZONETRAFFIC -i br0 -o br0 -j ZONEFW -A ZONETRAFFIC -i br0 -o br0 -j ZONEFW_LOGDROP -A ipac~fi -i br0 -A ipac~fi -i eth2 -A ipac~fo -o br0 -A ipac~fo -o eth2 -A ipac~i -o br0 -A ipac~i -o eth2 -A ipac~o -i br0 -A ipac~o -i eth2 COMMIT # Completed on Thu Oct 22 14:00:03 2009 # Generated by iptables-save v1.3.8 on Thu Oct 22 14:00:03 2009 *nat :PREROUTING ACCEPT [1904:157228] :POSTROUTING ACCEPT [1153:55334] :OUTPUT ACCEPT [1590:77239] :CONTENTFILTER - [0:0] :CUSTOMPOSTROUTING - [0:0] :CUSTOMPREROUTING - [0:0] :DNSMASQ - [0:0] :OPENVPNCLIENT - [0:0] :PORTFW - [0:0] :POSTPORTFW - [0:0] :PROXIES - [0:0] :SIPROXDPORTFW - [0:0] :SOURCENAT - [0:0] :SQUID - [0:0] -A PREROUTING -j CUSTOMPREROUTING -A PREROUTING -j PROXIES -A PREROUTING -j PORTFW -A PREROUTING -j SIPROXDPORTFW -A PREROUTING -j CONTENTFILTER -A PREROUTING -j SQUID -A PREROUTING -j DNSMASQ -A POSTROUTING -j CUSTOMPOSTROUTING -A POSTROUTING -j OPENVPNCLIENT -A POSTROUTING -j SOURCENAT -A POSTROUTING -j POSTPORTFW -A OUTPUT -j PORTFW -A PROXIES -i br0 -p tcp -m tcp --dport 110 -m state --state NEW -j NFLOG --nflog-prefix "PROXIES:POP-PROXY:-" -A PROXIES -i br0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.1:8110 -A PROXIES -i br0 -p tcp -m tcp --dport 995 -m state --state NEW -j NFLOG --nflog-prefix "PROXIES:POP-PROXY:-" -A PROXIES -i br0 -p tcp -m tcp --dport 995 -j DNAT --to-destination 192.168.0.1:8110 -A PROXIES -i br0 -p tcp -m tcp --dport 25 -m state --state NEW -j NFLOG --nflog-prefix "PROXIES:SMTP-PROXY:-" -A PROXIES -i br0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.1:25 -A SOURCENAT -o eth2 -j SNAT --to-source 10.10.10.1 COMMIT # Completed on Thu Oct 22 14:00:03 2009
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору