Forum Debian Users Gang

rulezdc · 2009-01-25 14:53:32

witam
naprawdę już nie wiem jak to załatwić
jest sobie router o adresie 192.168.1.10 i komp o adresie 192.168.1.12
chcę aby dostęp z tego konta był tylko do poczty poprzez program pocztowy, wpisuje reguły:

iptables -A FORWARD -p tcp -d 192.168.1.12 --dport 25 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.12 --dport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.12 --dport 110 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.12 --dport 110 -m state --state RELATED,ESTABLISHED -j ACCEPT
i niestety thunderbird non stop wywala komunikat: nie można się połączyć z serwerem poczty

łańcuchy INPUT i OUTPUT mają porty 25,110 otwarte, komenda iptables -L FORWARD pokazuje:

ACCEPT tcp -- anywhere 192.168.1.12 tcp dpt:smtp state NEW
ACCEPT tcp -- anywhere 192.168.1.12 tcp dpt:smtp state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere 192.168.1.12 tcp dpt:pop3 state NEW
ACCEPT tcp -- anywhere 192.168.1.12 tcp dpt:pop3 state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.1.12 anywhere tcp dpt:smtp state NEW
ACCEPT tcp -- 192.168.1.12 anywhere tcp dpt:smtp state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.1.12 anywhere tcp dpt:pop3 state NEW
ACCEPT tcp -- 192.168.1.12 anywhere tcp dpt:pop3 state RELATED,ESTABLISHED

może, ktoś mi powie jak to skonfigurować, moze też być na poziomie squida
pozdrawiam

maro · 2009-01-25 18:33:33

Moim zdaniem wystarczy tak:
iptables - A FORWARD -s 192.168.1.12 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.1.12 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d 192.168.1.12 -m state --state RELATED,ESTABLISHED -j ACCEPT
Jesli serwer jest na zewnątrz sieci to w input i output nie musisz mieć otwartych portów,
Oczywiście musisz jeszcze z natować ruch z 1.12 zeby zadziałało

A wg mnie twoje reguły w ogóle nie mają sensu, bo połączenie inicjuje komp a nie serwer pocztowy.

Ostatnio edytowany przez maro (2009-01-25 18:43:47)

rulezdc · 2009-01-26 08:00:43

witam, tylko że jak załącze regułe:
iptables -A FORWARD -d 192.168.1.12 -m state --state RELATED,ESTABLISHED -j ACCEPT
to będzie dostep do internetu, a nie tylko do poczty, bo mam wcześniej dopuszczone na określonych portach dla całej podsieci i między innymi są tam porty 25,110,80
a coś takiego nie działa:
iptables -A FORWARD -d 192.168.1.12 --dport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
pozdrawiam

BiExi · 2009-01-26 08:54:07

jeszcze pasowalo by dodatkowo puscic DNS'y

rulezdc · 2009-01-26 09:13:03

juz puszczalem dns-y i dalej to samo, przyjde dzis wieczorem do domq to jeszcze powalcze, bo teoretycznie powinno dzialac, a praktycznie nei działa
pozdrawiam

maro · 2009-01-26 10:48:53

rulezdc napisał(-a):
witam, tylko że jak załącze regułe:
iptables -A FORWARD -d 192.168.1.12 -m state --state RELATED,ESTABLISHED -j ACCEPT
to będzie dostep do internetu, a nie tylko do poczty, bo mam wcześniej dopuszczone na określonych portach dla całej podsieci i między innymi są tam porty 25,110,80
a coś takiego nie działa:
iptables -A FORWARD -d 192.168.1.12 --dport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
pozdrawiam ^^^^^^^

Jak dla mnie powinno tutaj być --sport zamiast --dport to serwer słucha na porcie 25, na kliencie jest port losowy

Ostatnio edytowany przez maro (2009-01-26 10:54:53)

mariaczi · 2009-01-26 11:05:14

Jak masz ustawioną polityke FORWARD?
Jeśli przed regółami jakie pokazałes w pierwszym poście przepuszczasz całą podsiec to te regółki juz nic nie łapią, bo niby co maja łapać skoro wcześniej regółu podsieci uwzględniły i tą maszyne 192.168.1.12.
Przed regółami dla całej podsieci wypuść połacznia z tej maszyny (-s 192.168.1.12) na porty docelowe (--dport) a pod nimi zablokuj reszte (-s 192.168.1.12, -j DROP). Pamiętaj o odpuszczeniu również DNSa jak pisała BiExi, bo nie wydaje mi sie aby użytkownik konfigurował klienta poczty po IP. Po tym przepuszczeniu zapodaj regóły dla podsieci. Musi gadać, łaski nie robi :)

rulezdc · 2009-01-26 11:41:30

witam
dziekuje za wskazówki wieczorem potestuje
bo teraz ne mam jak

bercik · 2009-01-26 19:10:12

rulezdc napisał(-a):
witam, tylko że jak załącze regułe:
iptables -A FORWARD -d 192.168.1.12 -m state --state RELATED,ESTABLISHED -j ACCEPT
to będzie dostep do internetu, a nie tylko do poczty, bo mam wcześniej dopuszczone na określonych portach dla całej podsieci i między innymi są tam porty 25,110,80
a coś takiego nie działa:
iptables -A FORWARD -d 192.168.1.12 --dport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
pozdrawiam

blad w Twoich regulkach jest taki ze nie mozesz zakladac ze serwer bedzie nadawl z takiego portu na jakim slucha ... zatem nie ograniczyc tego na ruchu powrotnym ... dlatego powinno byc tak jak napisal maro - powinenes wypuszczac z za NATu ruch na wybrane porty a wpuszczac wszystkie nawiazane polaczenia ...

rulezdc · 2009-01-27 09:47:57

witam
przepraszam za zawracanie głowy, faktycznie mea culpa, miałem forward dla wybranych portów, no i wszystko przechodziło, teraz zrobiłem w pętli dla każdego hosta, puściłem na dany IP tylko pop3, smtp i działa
jednak wyniknął inny problem, a ze czytałem jużchyba z 4 dni o tym dalej nie kumam, nei wiem czemu, mam u siebie squida, i poprzez kontrole acl mam dopuszczoną całą podsieć i za cholere nei wiem jak zrobić aby dla wybranego kompa, grupy kompów pozwolić na połączenia tylko na dane strony, lub całkiem zabronić dostępu do neta, moze ktoś może mi wkleić przykład jak to powinno wyglądac
będę bardzo wdzięczny
pozdrawiam
T.M.

rulezdc · 2009-01-27 22:42:24

witam odpowiem sobie sam i może komuś też się przyda, a więc przewertowałem dokumentacje squida, troszke poczytałem na forach itp., i teraz odpowiedź na powyższe:
zakładamy sobie liste acl:
acl block_ip src "/sciezka_do_pliku/block_ip.txt" ---> w pliku block_ip.txt wpisujemy blokowane IP, oczywiscie w jednej linii jeden IP
acl url_allow url_regex -i "/sciezka_do_pliku/url_allow.txt" --> w pliku wpisujemy sobie url ktore maja byc dopuszczone

no i zakladamy sobie reguły http_access:

http_access allow block_ip url_allow
http_access deny block_ip

i oczywiście jak ktoś ma inne acl-e to sobie je wkomponuje

no i działa tak jak ma działać
pozdrawiam

Forum Debian Users Gang

Ogłoszenie

#1 2009-01-25 14:53:32

rulezdc - Członek DUG

iptables i udostepnienie za nat-em tylko POP3 i SMTP...

#2 2009-01-25 18:33:33

maro - Użytkownik

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

#3 2009-01-26 08:00:43

rulezdc - Członek DUG

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

#4 2009-01-26 08:54:07

BiExi - matka przelozona

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

#5 2009-01-26 09:13:03

rulezdc - Członek DUG

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

#6 2009-01-26 10:48:53

maro - Użytkownik

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

rulezdc napisał(-a):

#7 2009-01-26 11:05:14

mariaczi - Użytkownik

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

#8 2009-01-26 11:41:30

rulezdc - Członek DUG

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

#9 2009-01-26 19:10:12

bercik - Moderator Mamut

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

rulezdc napisał(-a):

#10 2009-01-27 09:47:57

rulezdc - Członek DUG

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

#11 2009-01-27 22:42:24

rulezdc - Członek DUG

Re: iptables i udostepnienie za nat-em tylko POP3 i SMTP...

Stopka forum