problemy s forwardem portu (iptables)

Petr Bartel cyber na irix-servis.cz
Čtvrtek Listopad 24 17:09:18 CET 2005 

Preju dobry vecer,
rad bych pozadal o radu
mam router s jednou verejnou IP a jednou privat
pozadavky na www,postu atd. smeruju dovnitr na server protoze mame jen
jednu verejnou ip adresu zvenku vse funguje dobre a vsechno se
presmeruje jak ma ale na vnitrni siti ani ranu a me naprosto nenapada
proc nebo jak to zaridit.

Predem upozornuju ze je to jen vysek z toho skriptu a ze v tom nejsem
zadny guru, forward bezi, NAT taky, prosim upozornete me na veci co jsou
tam zbytecne mozna jsem se v tom zamotal, tak me prosim setrete :-]

Diky za pomoc

......

# Flush stara pravidla
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t nat
# Zlikvidovat uzivatelska pravidla

$IPT -X
$IPT -X -t nat

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD ACCEPT
echo -n "nat, "
iptables -t nat -A POSTROUTING -s 192.168.100.0/255.255.255.0 -o
$EXTERNAL -j SNAT --to $MY_IP

echo -n "postfix mail (25), "
# postfix
iptables -t nat -A PREROUTING -p tcp -d $MY_IP --dport 25 -j DNAT --to
192.168.100.100:25
iptables -t nat -A POSTROUTING -p tcp -d 192.168.100.100 --dport 25 -j
SNAT --to  $MY_IP

echo -n "dovecot pop3 (110), "
# dovecot
iptables -t nat -A PREROUTING -p tcp -d $MY_IP --dport 110 -j DNAT --to
192.168.100.100:110
iptables -t nat -A POSTROUTING -p tcp -d 192.168.100.100 --dport 110 -j
SNAT --to  $MY_IP

echo -n "pop3s (995), "
# pop3s
iptables -t nat -A PREROUTING -p tcp -d $MY_IP --dport 995 -j DNAT --to
192.168.100.100:995
iptables -t nat -A POSTROUTING -p tcp -d 192.168.100.100 --dport 995 -j
SNAT --to  $MY_IP

echo -n "dovecot imap (143), "
# dovecot
iptables -t nat -A PREROUTING -p tcp -d $MY_IP --dport 143 -j DNAT --to
192.168.100.100:143
iptables -t nat -A POSTROUTING -p tcp -d 192.168.100.100 --dport 143 -j
SNAT --to  $MY_IP

echo -n "apache web (80), "
# apache
iptables -t nat -A PREROUTING -p tcp -d $MY_IP --dport 80 -j DNAT --to
192.168.100.100:80
iptables -t nat -A POSTROUTING -p tcp -d 192.168.100.100 --dport 25 -j
SNAT --to  $MY_IP

echo -n "apache web ssl (443), "
# apache
iptables -t nat -A PREROUTING -p tcp -d $MY_IP --dport 443 -j DNAT --to
192.168.100.100:443
iptables -t nat -A POSTROUTING -p tcp -d 192.168.100.100 --dport 443 -j
SNAT --to  $MY_IP

....

$IPT -N pop3
$IPT -A pop3 -i $EXTERNAL -p tcp -m state --state NEW -j ACCEPT
$IPT -A pop3 -i $EXTERNAL -p tcp -m limit  --limit $LIMIT -j LOG
--log-prefix "DROP-pop3 "
$IPT -A pop3 -i $EXTERNAL -j DROP

$IPT -N pop3s
$IPT -A pop3s -i $EXTERNAL -p tcp -m state --state NEW -j ACCEPT
$IPT -A pop3s -i $EXTERNAL -p tcp -m limit  --limit $LIMIT -j LOG
--log-prefix "DROP-pop3s "
$IPT -A pop3s -i $EXTERNAL -j DROP

$IPT -N imap
$IPT -A imap -i $EXTERNAL -p tcp -m state --state NEW -j ACCEPT
$IPT -A imap -i $EXTERNAL -p tcp -m limit  --limit $LIMIT -j LOG
--log-prefix "DROP-imap "
$IPT -A imap -i $EXTERNAL -j DROP

$IPT -N imaps
$IPT -A imaps -i $EXTERNAL -p tcp -m state --state NEW -j ACCEPT
$IPT -A imaps -i $EXTERNAL -p tcp -m limit  --limit $LIMIT -j LOG
--log-prefix "DROP-imaps "
$IPT -A imaps -i $EXTERNAL -j DROP

$IPT -N www
$IPT -A www -i $EXTERNAL -p tcp -m state --state NEW -j ACCEPT
$IPT -A www -i $EXTERNAL -p tcp -m limit  --limit $LIMIT -j LOG
--log-prefix "DROP-www "
$IPT -A www -i $EXTERNAL -j DROP

...................

$IPT -A INPUT -i $EXTERNAL -p tcp -d $MY_IP --dport pop3        -j pop3
$IPT -A INPUT -i $EXTERNAL -p tcp -d $MY_IP --dport pop3s       -j pop3s
$IPT -A INPUT -i $EXTERNAL -p tcp -d $MY_IP --dport imap        -j imap
$IPT -A INPUT -i $EXTERNAL -p tcp -d $MY_IP --dport imaps       -j imaps
$IPT -A INPUT -i $EXTERNAL -p tcp -d $MY_IP --dport www         -j www


No a pokud tedy zkusim odkukoli z vnitrni site pozadavek pres dns , mam
okamzite connectin refused. Primo na 192.168.100.100 to funguje.

S pozdravem

        Petr Bartel

Další informace o konferenci Linux