Chinaunix

标题: iptables端口转发后不能收邮件 [打印本页]
作者: lnx    时间: 2004-06-14 13:01
标题: iptables端口转发后不能收邮件
mailsrv-ip:192.168.0.3
fw-ip:211.162.xxx.xxx(eth1)  192.168.0.1(eth0)
====做简单的端口转发===
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

echo 1 >; /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 80 -j DNAT --to 192.168.0.3
/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80  -j SNAT --to 192.168.0.1

/sbin/iptables -I FORWARD -p tcp -d 192.168.0.3 --dport 110 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 192.168.0.3 --dport 25 -j ACCEPT

之后,邮件可以正常发送出去,但没法接收邮件;去掉端口转发后就正常。
一直搞不明白,请大家帮个忙,谢谢!
作者: onlyf    时间: 2004-06-14 13:29
标题: iptables端口转发后不能收邮件
是不是该加个对25和110的DNAT和SNAT,就像你对80端口的处理一样。
作者: thinmonkey    时间: 2004-06-14 13:29
标题: iptables端口转发后不能收邮件
/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.1
改为
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.3 -p tcp --sport 80 -j SNAT --to 211.162.***.**
作者: lnx    时间: 2004-06-14 14:04
标题: iptables端口转发后不能收邮件
原帖由 "thinmonkey" 发表:
/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.1
改为
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.3 -p tcp --sport 80 -j SNAT --to 211.162.***.**

这样也不行的,我试过。

TO onlyf
加25、110端口也一样不行

===========
有点烦这个,因为从外面进来的,所以不知道该FW阻离了什么。FW里面除了上面这个,不会有防火墙的
作者: q1208c    时间: 2004-06-14 14:19
标题: iptables端口转发后不能收邮件
加个MASQUERADE
作者: thinmonkey    时间: 2004-06-14 14:30
标题: iptables端口转发后不能收邮件
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

echo 1 >; /proc/sys/net/ipv4/ip_forward

iptables -P FORWARD DROP

/sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -j DNAT --to 192.168.0.3
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.3  -j SNAT --to 211.162.***.***

/sbin/iptables -I FORWARD -p tcp  --dport 110 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp  --dport 25 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp  --dport 80 -j ACCEPT

/sbin/iptables -I FORWARD -p tcp  --sport 25 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp  --sport 110 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp  --sport 80 -j ACCEPT
作者: thinmonkey    时间: 2004-06-14 14:34
标题: iptables端口转发后不能收邮件
要是不知道mailsev 用了些什么端口,可以在iptables中加个日志看看
作者: lnx    时间: 2004-06-14 15:02
标题: iptables端口转发后不能收邮件
[quote]原帖由 "thinmonkey"]要是不知道mailsev 用了些什么端口,可以在iptables中加个日志看看[/quote 发表:

mailsrv是一台Domino server for win,端口就80/21/25/110
  1. /sbin/iptables -I FORWARD -p tcp --sport 25 -j ACCEPT
复制代码

这个有加上试过,当时加的是dport,sport就暂还没有试。

TO q1208c ,我觉得MASQUERADE好像不是必须的
作者: q1208c    时间: 2004-06-14 15:06
标题: iptables端口转发后不能收邮件
masquerade 当然不是必须的,因为你那两边全是内网,路由就行了,但你进入的包用了nat,出去不用当然是收不到信的。
作者: lnx    时间: 2004-06-14 15:43
标题: iptables端口转发后不能收邮件
[quote]原帖由 "q1208c"]masquerade 当然不是必须的,因为你那两边全是内网,路由就行了,但你进入的包用了nat,出去不用当然是收不到信的。[/quote 发表:

那我该怎么使用它?
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.3/24 -j MASQUERADE
这样吗?
好像我理解的MASQUERADE和SNAT不是这样子的
作者: platinum    时间: 2004-06-14 17:40
标题: iptables端口转发后不能收邮件
楼主的INPUT和FORWARD的默认规则是什么?
我怀疑你的FORWARD是DROP,但没反映到你的SHELL里
如果默认规则是ACCEPT,那么那两句FORWARD就没用了
如果确实是DROP,那么肯定是不行的,因为少了几句话
作者: q1208c    时间: 2004-06-14 17:52
标题: iptables端口转发后不能收邮件
原帖由 "lnx" 发表:

那我该怎么使用它?
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.3/24 -j MASQUERADE
这样吗?
好像我理解的MASQUERADE和SNAT不是这样子的


这样之后还不行么?
作者: lyking    时间: 2004-06-14 17:58
标题: iptables端口转发后不能收邮件
/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.1

这句好像有问题,这样设置岂不是在网关处截断了返回的通信流.
作者: yuipr    时间: 2004-06-14 18:17
标题: iptables端口转发后不能收邮件
这是个很有深度的问题呀,大家都来说说吧
作者: race    时间: 2004-06-14 18:50
标题: iptables端口转发后不能收邮件
iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT   --to-destination $HTTP_IP

这个是内网机器访问内网HTTP服务器的例子,可以比着改成你的MAIL服务器试一下。
作者: platinum    时间: 2004-06-14 19:57
标题: iptables端口转发后不能收邮件
[quote]原帖由 "yuipr"]这是个很有深度的问题呀,大家都来说说吧[/quote 发表:

其实没什么,应该是楼主的防火墙设置有问题
作者: lnx    时间: 2004-06-15 10:44
标题: iptables端口转发后不能收邮件
还是没法正常接收,只能发出去
TO 白金 ,我一般在运行FW前都会运行这几行的,按理说应该不会再有问题的吧?

  2. /sbin/iptables -F
  3. /sbin/iptables -X
  4. /sbin/iptables -t nat -F
  5. /sbin/iptables -t nat -X
复制代码
作者: platinum    时间: 2004-06-15 10:54
标题: iptables端口转发后不能收邮件
你的目的是什么
你的防火墙,只要有个iptables -t nat -A POSTROUTING -j MASQUERADE就解决了
其他都没用
作者: lnx    时间: 2004-06-15 11:06
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:
你的目的是什么
你的防火墙,只要有个iptables -t nat -A POSTROUTING -j MASQUERADE就解决了
其他都没用

目的是想让MAILSRV放在内部(就一个内部IP),外面所有人都可访问(MAIL已做成WEB页面的,用的是Domino For Win)。所以想利用一台机来做端口转发来实现。
现在的情况是:采用端口转发后,外面可访问、发邮件、但所有发向该域名的邮件都没法接收。如果我直接将内部IP改为公网IP就可以收、发正常(说明MAILSRV是正常的)
作者: lnx    时间: 2004-06-15 11:17
标题: iptables端口转发后不能收邮件
我现在的FW如下:(其它修改没效时都恢复成原来我自己初始写的;另有静态IP和对应域名的)
(注:mailsrv-ip=>;192.168.0.3   fw-ip=>;eth0=192.168.0.2  eth1=211.162.xxx.xxx)

  2. #!/bin/bash

  4. #Load Modules
  5. /sbin/modprobe ip_tables
  6. /sbin/modprobe iptable_filter
  7. /sbin/modprobe iptable_nat
  8. /sbin/modprobe ip_conntrack
  9. /sbin/modprobe ip_conntrack_ftp
  10. /sbin/modprobe ip_nat_ftp

  12. # Reset Default Policies
  13. /sbin/iptables -P INPUT ACCEPT
  14. /sbin/iptables -P FORWARD ACCEPT
  15. /sbin/iptables -P OUTPUT ACCEPT
  16. /sbin/iptables -t nat -P PREROUTING ACCEPT
  17. /sbin/iptables -t nat -P POSTROUTING ACCEPT
  18. /sbin/iptables -t nat -P OUTPUT ACCEPT
  19. /sbin/iptables -t mangle -P PREROUTING ACCEPT
  20. /sbin/iptables -t mangle -P OUTPUT ACCEPT

  22. # Flush all rules
  23. /sbin/iptables -F
  24. /sbin/iptables -t nat -F
  25. /sbin/iptables -t mangle -F

  27. # Erase all non-default chains
  28. /sbin/iptables -X
  29. /sbin/iptables -t nat -X
  30. /sbin/iptables -t mangle -X


  33. echo 1 >; /proc/sys/net/ipv4/ip_forward

  35. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth1 -j SNAT --to 211.162.xxx.xxx  (说明,因为我还想自己通过这台机器上网,所以加了这句;当然其它人是通过一台有限制的FW上网的):)

  37. #ports forward
  38. #/sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 80 -j DNAT --to 192.168.0.3
  39. #/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.2
  40. (曾有转发过25、110,但无效后都去掉了)
  41. #allow 25/80/110 ports
  42. #/sbin/iptables -I FORWARD -p tcp --dport 110 -j ACCEPT
  43. #/sbin/iptables -I FORWARD -p tcp --dport 25 -j ACCEPT
  44. #/sbin/iptables -I FORWARD -p tcp --dport 80 -j ACCEPT
复制代码
作者: platinum    时间: 2004-06-15 11:46
标题: iptables端口转发后不能收邮件
转发不是FORWARD,要用POSTROUTING和PREROUTING
这样试试

1、清除所有规则
iptables -F
iptables -F -t nat

2、设置默认为ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P PREROUTING ACCEPT

3、向内转发25和110端口
iptables -t nat -A PREROUTING -d 公网IP -p tcp --dport 25 -j DNAT --to 内网MAILSERVER地址
iptables -t nat -A PREROUTING -d 公网IP -p tcp --dport 110 -j DNAT --to 内网MAILSERVER地址

4、允许数据包有来有回
echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE

注意,以上东西不要凭自己的理解修改,因为你的修改可能会导致数据包转发错误,尤其是MASQUERADE那行!
作者: lnx    时间: 2004-06-15 14:29
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:
转发不是FORWARD,要用POSTROUTING和PREROUTING
这样试试
..........

感谢白金、q1280c和大家的帮忙,现在终于可以了。在开始时q1208c有提出过的,但我当然时理解错了

另外,按你上面的可以正常收到数据包,但不能发送出去,所以还得加上这一条:

  2. iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.2
复制代码
才能够正常发出去。下面我整理一下,希望大家以后用得着时参考下整个代码如下:(mailsrv=>;192.168.0.3  fw=>;eth0=192.168.0.2  eth1=211.162.xxx.xxx)

  2. #!/bin/bash

  4. #load modules
  5. /sbin/modprobe iptable_filter
  6. /sbin/modprobe iptable_nat
  7. /sbin/modprobe ip_conntrack
  8. /sbin/modprobe ip_conntrack_ftp
  9. /sbin/modprobe ip_nat_ftp

  11. # Reset Default Policies
  12. /sbin/iptables -P INPUT ACCEPT
  13. /sbin/iptables -P FORWARD ACCEPT
  14. /sbin/iptables -P OUTPUT ACCEPT
  15. /sbin/iptables -t nat -P PREROUTING ACCEPT
  16. /sbin/iptables -t nat -P POSTROUTING ACCEPT
  17. /sbin/iptables -t nat -P OUTPUT ACCEPT
  18. /sbin/iptables -t mangle -P PREROUTING ACCEPT
  19. /sbin/iptables -t mangle -P OUTPUT ACCEPT

  21. # Flush all rules
  22. /sbin/iptables -F
  23. /sbin/iptables -t nat -F
  24. /sbin/iptables -t mangle -F

  26. # Erase all non-default chains
  27. /sbin/iptables -X
  28. /sbin/iptables -t nat -X
  29. /sbin/iptables -t mangle -X


  32. echo 1 >; /proc/sys/net/ipv4/ip_forward

  34. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth1 -j SNAT --to 211.162.xxx.xxx(这条不是必须的,看你需要与否)

  36. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 80 -j DNAT --to 192.168.0.3

  38. /sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.2 (这条不加的话对方不能收到你发出去的邮件)

  40. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 25 -j DNAT --to 192.168.0.3
  41. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 110 -j DNAT --to 192.168.0.3

  43. /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE(这条不加的话,你不能正常接收邮件)
复制代码
作者: platinum    时间: 2004-06-15 14:34
标题: iptables端口转发后不能收邮件
sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.2
这行你加的很奇怪,我没明白其中的含义

另外,有了MASQUERADE那行
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth1 -j SNAT --to 211.162.xxx.xxx
应该可以省略了
作者: lyking    时间: 2004-06-15 14:43
标题: iptables端口转发后不能收邮件
代码:

iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.2

我觉得这句应该不是必须的.(如果你的服务器的缺省网关是指向linux网关的话)如果你的mailserver的缺省网关是其他机器才需要这句.
作者: platinum    时间: 2004-06-15 15:00
标题: iptables端口转发后不能收邮件
的确,楼主的规则里有几条是没用的
作者: lnx    时间: 2004-06-15 15:00
标题: iptables端口转发后不能收邮件
原帖由 "lyking" 发表:
代码:

iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.2

我觉得这句应该不是必须的.(如果你的服务器的缺省网关是指向linux网关的话)如果你的mailserver的缺省网?.........

哦,还这样的啊    
谢谢!
TO 白金
  1. /sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.2
复制代码

这句我理解的是(不知是否对哦):让FW作为源地址转换SNAT,这样可以让回应的数据包能正确返回到mailsrv(192.168.0.3)

  2. 另外,有了MASQUERADE那行
  3. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth1 -j SNAT --to 211.162.xxx.xxx
  4. 应该可以省略了
复制代码

但是我觉得使用snat会好些,因为使用MASQUERADE时,当你interface失效或瞬间失效时,所有的连接都被丢弃了(我的是MAILSRV啊);而使用SNAT时,它则会保持不变
作者: platinum    时间: 2004-06-15 15:21
标题: iptables端口转发后不能收邮件
我根据脚本,和对你的网络拓扑的想象,改了一下FIREWALL脚本,你试试这个可以不


  2. #!/bin/bash

  4. #load modules
  5. /sbin/modprobe iptable_filter
  6. /sbin/modprobe iptable_nat
  7. /sbin/modprobe ip_conntrack
  8. /sbin/modprobe ip_conntrack_ftp
  9. /sbin/modprobe ip_nat_ftp

  11. # Reset Default Policies
  12. /sbin/iptables -P INPUT ACCEPT
  13. /sbin/iptables -P FORWARD ACCEPT
  14. /sbin/iptables -P OUTPUT ACCEPT
  15. /sbin/iptables -t nat -P PREROUTING ACCEPT
  16. /sbin/iptables -t nat -P POSTROUTING ACCEPT
  17. /sbin/iptables -t nat -P OUTPUT ACCEPT
  18. /sbin/iptables -t mangle -P PREROUTING ACCEPT
  19. /sbin/iptables -t mangle -P OUTPUT ACCEPT

  21. # Flush all rules
  22. /sbin/iptables -F
  23. /sbin/iptables -t nat -F
  24. /sbin/iptables -t mangle -F

  26. # Erase all non-default chains
  27. /sbin/iptables -X
  28. /sbin/iptables -t nat -X
  29. /sbin/iptables -t mangle -X


  32. echo 1 >; /proc/sys/net/ipv4/ip_forward

  34. /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE

  36. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 80 -j DNAT --to 192.168.0.3

  38. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 25 -j DNAT --to 192.168.0.3

  40. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 110 -j DNAT --to 192.168.0.3
复制代码
作者: lnx    时间: 2004-06-15 15:37
标题: iptables端口转发后不能收邮件
[quote]原帖由 "platinum"][/quote 发表:

HOHO,恭喜白金,通过。。。

另外,想问下我理解的这句有没有错呢?还是怎么样的?

  2. 但是我觉得使用snat会好些,因为使用MASQUERADE时,当你interface失效或瞬间失效时,所有的连接都被丢弃了(我的是MAILSRV啊);而使用SNAT时,它则会保持不变
复制代码
作者: platinum    时间: 2004-06-15 15:40
标题: iptables端口转发后不能收邮件
再换成这个试试,如果成,就解决了我多年来的一个心病!


  2. #!/bin/bash

  4. #load modules
  5. /sbin/modprobe iptable_filter
  6. /sbin/modprobe iptable_nat
  7. /sbin/modprobe ip_conntrack
  8. /sbin/modprobe ip_conntrack_ftp
  9. /sbin/modprobe ip_nat_ftp

  11. # Reset Default Policies
  12. /sbin/iptables -P INPUT ACCEPT
  13. /sbin/iptables -P FORWARD ACCEPT
  14. /sbin/iptables -P OUTPUT ACCEPT
  15. /sbin/iptables -t nat -P PREROUTING ACCEPT
  16. /sbin/iptables -t nat -P POSTROUTING ACCEPT
  17. /sbin/iptables -t nat -P OUTPUT ACCEPT
  18. /sbin/iptables -t mangle -P PREROUTING ACCEPT
  19. /sbin/iptables -t mangle -P OUTPUT ACCEPT

  21. # Flush all rules
  22. /sbin/iptables -F
  23. /sbin/iptables -t nat -F
  24. /sbin/iptables -t mangle -F

  26. # Erase all non-default chains
  27. /sbin/iptables -X
  28. /sbin/iptables -t nat -X
  29. /sbin/iptables -t mangle -X


  32. echo 1 >; /proc/sys/net/ipv4/ip_forward

  34. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE (ethx是你内网的网卡)

  36. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 80 -j DNAT --to 192.168.0.3

  38. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 25 -j DNAT --to 192.168.0.3

  40. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 110 -j DNAT --to 192.168.0.3
复制代码
作者: lyking    时间: 2004-06-15 15:54
标题: iptables端口转发后不能收邮件
两个配置的差别是这句
  1. /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
  2. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE (ethx是你内网的网卡)
复制代码

白金,你多年的心病是什么问题?
作者: platinum    时间: 2004-06-15 16:15
标题: iptables端口转发后不能收邮件
具体一句两句说不清
我就说一下现实中遇到的问题吧,可能会很罗索,希望大家有兴趣看完

==================CUT==================
现象一:

环境:
AS3系统,eth0=公网IP,eth1=192.168.0.1
WIN2K,ip=192.168.0.2

目的:DNAT一个TCP-25和TCP-110端口到公网上(做MAIL)
现象:

  2. /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
  3. 可以

  5. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE (ethx是你内网的网卡)
  6. 不可以
复制代码


现象二:

环境:同上
目的:DNAT一个TCP-4899到公网上
现象:

  2. /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
  3. 可以

  5. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE (ethx是你内网的网卡)
  6. 可以

  8. 不同点:
  9. TCP-4899是RADMIN(一个远控工具,类似PCANYWHERE)的端口,192.168.0.2被连后能看到控制者的IP

  11. 用/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE
  12. 显示控制者的真正IP

  14. 用/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
  15. 显示的IP是192.168.0.1
复制代码


现象三:

环境:
WAN -->; FIREWALL(硬件) -->; LINUX -->; WINDOWS
需要做一个“二重DNAT”
目前,FIREWALL已经将对自己访问的数据包全部交给LINUX
LINUX需要的是将TCP-80分给WINDOWS的IIS
现象:

  2. /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
  3. 可以

  5. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE (ethx是你内网的网卡)
  6. 可以
复制代码

==================CUT==================

说了这么多,所以我想让你试一下加上具体限制后的访问效果
作者: hrcxf    时间: 2004-06-15 16:23
标题: iptables端口转发后不能收邮件
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j SNAT --to 211.162.xxx.xxx
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth2 -d 211.162.xxx.xxx  --dport 25 -j DNAT --to-destination 192.168.0.3 :25
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth2 -d 211.162.xxx.xxx  --dport 110 -j DNAT --to-destination 192.168.0.3 :25
作者: lnx    时间: 2004-06-15 16:35
标题: iptables端口转发后不能收邮件
[quote]原帖由 "platinum"][/quote 发表:

呵呵,测试通过

===
你上面说的

  2. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE (ethx是你内网的网卡)
  3. 不可以
复制代码

换成这个是不能再通过它上网,但其它的还是可以的(我说的是我的邮件正常收、发),不过带上附件时延时较长(需要较长时间才能收到邮件)
作者: platinum    时间: 2004-06-15 16:40
标题: iptables端口转发后不能收邮件
如果这样也行,我就真的有点糊涂了……
作者: lyking    时间: 2004-06-15 16:43
标题: iptables端口转发后不能收邮件
白金,我这样分析看对不对.
  1. 用/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE
  2. 显示控制者的真正IP

  4. 用/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
  5. 显示的IP是192.168.0.1
复制代码

先说我对MASQUERADE的理解,它可以使从特定端口发出的数据包的源地址更换为出口地址.

对于第二种情况,当外部返回的数据包通过Linux网关时,由于
用/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE 没有限定哪些包才需要MASQUERADE,返回包在送出内部网络接口时也被进行了MASQUERADE操作,所以其源地址是192.168.0.1.此时,对于mailserver而言,它认为是和192.168.0.1在进行通信.

而对于第一种情况,只有满足-s 192.168.0.0/24 -i ethx的数据包才进行MASQUERADE操作.因此当外部返回数据在送出内部网络接口时仍保持了它的源地址.此时,mailserver才真正认为是和外部世界进行通信.
作者: lyking    时间: 2004-06-15 16:49
标题: iptables端口转发后不能收邮件
如果我的分析正确的话,那么
  1. 用/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
  2. 显示的IP是192.168.0.1
复制代码
通过在mailserver上设置过滤外部IP通信的规则,实际阻止不了外部的IP.
作者: lnx    时间: 2004-06-15 16:50
标题: iptables端口转发后不能收邮件
[quote]原帖由 "lyking"]。。。而对于第一种情况,只有满足-s 192.168.0.0/24 -i ethx的数据包才进行MASQUERADE操作.因此当外部返回数据在送出内部网络接口时仍保持了它的源地址.此时,mailserver才真正认为是和外部世界进行通信..[/quote 发表:

好像有道理,但换成这个后,内部就不能通过它上网(这点我肯定的,刚才测试时,我需要更改网关)
作者: platinum    时间: 2004-06-15 16:55
标题: iptables端口转发后不能收邮件
lyking的话有道理

不过lnx的最后一句话我没明白

用哪个就不行?换成“这个”后,哪个啊?
内部就不能通过他上网,需要更改网关。不可能!
作者: lyking    时间: 2004-06-15 17:06
标题: iptables端口转发后不能收邮件
原帖由 "lnx" 发表:

好像有道理,但换成这个后,内部就不能通过它上网(这点我肯定的,刚才测试时,我需要更改网关)

是不是可以这样来解释
当采用如下代码时
  1. 用/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
  2. 显示的IP是192.168.0.1
复制代码

对于内部的机器,感觉是和192.168.0.1通信,既然是在相同的网段,网关如何设置就不重要了.

而当采用如下代码时
  1. 用/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE
  2. 显示控制者的真正IP
复制代码

对于内部的机器,感觉是和外部的机器通信,这时它必须设置正确的缺省网关,才能把数据包发出去
作者: platinum    时间: 2004-06-15 17:17
标题: iptables端口转发后不能收邮件
当采用如下代码时
代码:
用/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
显示的IP是192.168.0.1  

对于内部的机器,感觉是和192.168.0.1通信,既然是在相同的网段,网关如何设置就不重要了.

错,内网机器同样需要设置LINUX为DEFAULT GW,和使用MASQUERADE的具体转换时一样
作者: lnx    时间: 2004-06-15 17:19
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:
lyking的话有道理

不过lnx的最后一句话我没明白

用哪个就不行?换成“这个”后,哪个啊?
内部就不能通过他上网,需要更改网关。不可能!

是这样的:(说明:mailsrv和我测试机器上设的网关是FW-IP)

  1. /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
复制代码
时,一切都正常,mailsrv和测试机器也能上网。

而当采用如下代码时

  1. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE
复制代码
时,mailsrv和测试机器均无法上网,之后将测试机器更改网关后再测试邮件时,邮件收、发正常。(注:mailsrv没更改网关,所以还是不能上网)
作者: lyking    时间: 2004-06-15 17:26
标题: iptables端口转发后不能收邮件
当采用如下代码时
代码:
用/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
显示的IP是192.168.0.1

对于内部的机器,感觉是和192.168.0.1通信,既然是在相同的网段,网关如何设置就不重要了.

我没有说清楚,应该说"对于从外部发起的服务请求而言"
作者: platinum    时间: 2004-06-15 17:31
标题: iptables端口转发后不能收邮件
你的问题出在PREROUTING上,改成下面的应该没事了

  2. sbin/iptables -t nat -A PREROUTING -s ! 192.168.0.0/24 -d 211.162.xxx.xxx -p tcp --dport 80 -j DNAT --to 192.168.0.3

  4. /sbin/iptables -t nat -A PREROUTING -s ! 192.168.0.0/24 -d 211.162.xxx.xxx -p tcp --dport 25 -j DNAT --to 192.168.0.3

  6. /sbin/iptables -t nat -A PREROUTING -s ! 192.168.0.0/24 -d 211.162.xxx.xxx -p tcp --dport 110 -j DNAT --to 192.168.0.3
复制代码
作者: lyking    时间: 2004-06-15 17:35
标题: iptables端口转发后不能收邮件
用代码:
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE  
时,一切都正常,mailsrv和测试机器也能上网。

而当采用如下代码时

代码:
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE  
时,mailsrv和测试机器均无法上网,之后将测试机器更改网关后再测试邮件时,邮件收、发正常。(注:mailsrv没更改网关,所以还是不能上网)

我也糊涂了.
楼主应该是有两个Internet出口吧?
楼主指的上网是从内部网发起的连接吗?
作者: unixli    时间: 2004-06-15 17:36
标题: iptables端口转发后不能收邮件
默认规则没改过本来就是ACCEPT的,所以用以下的规则应就够了:

#!/bin/bash

#load modules
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat

# Flush all rules
/sbin/iptables -F
/sbin/iptables -t nat -F

echo 1 >; /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 80 -i eth1 -j DNAT --to 192.168.0.3:80
/sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 25 -i eth1 -j DNAT --to 192.168.0.3:25
/sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 110 -i eth1 -j DNAT --to 192.168.0.3:110
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 211.162.xxx.xxx

如你自己不通过这台FW上网,那也要有POSTROUTING这句,就是192.168.0.0/24换成192.168.0.3而已,因mailsrv这机器53,80,25,110等端口出去也是要做地址转换的。

MASQUERADE这参数一般是在拨号没固定IP时才用。proxy版上有中文的iptables手册,各位有兴趣可以去看看。
作者: platinum    时间: 2004-06-15 17:57
标题: iptables端口转发后不能收邮件
回答你的问题
1、这个脚本适用于任何iptables环境,即使原来是DROP也可以
2、MASQUERADE比SNAT更智能,不用写--to x.x.x.x那些东西,它会自动去找GATEWAY

所以……
作者: unixli    时间: 2004-06-15 18:00
标题: iptables端口转发后不能收邮件
lnx 你好像没把邮件服务器的默认网关指向FW的内网IP:192.168.0.2,也就是邮件服务器的上网一定是通过FW。为了邮件进出数据的路径一致,你必须这样设。不然根本就通不过一邮件服务商的防垃圾检测,那你就没法向这些邮件服务器发信了。
作者: unixli    时间: 2004-06-15 18:02
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:
回答你的问题
1、这个脚本适用于任何iptables环境,即使原来是DROP也可以
2、MASQUERADE比SNAT更智能,不用写--to x.x.x.x那些东西,它会自动去找GATEWAY

所以……


但问题就是你用MASQUERADE这参数时不太正常呀
作者: platinum    时间: 2004-06-15 18:03
标题: iptables端口转发后不能收邮件
呵呵,问题是不应该出现这个现象,无法解释啊
作者: unixli    时间: 2004-06-15 18:10
标题: iptables端口转发后不能收邮件
所以你改用SNAT看能不能把问题解决!真的不行,那再想它法。
作者: platinum    时间: 2004-06-15 18:17
标题: iptables端口转发后不能收邮件
现在用MASQUERADE已经行了,所以就没试SNAT
有朝一日重新做系统的时候,可以试试看
作者: lnx    时间: 2004-06-15 20:44
标题: iptables端口转发后不能收邮件
[quote]原帖由 "unixli"]lnx 你好像没把邮件服务器的默认网关指向FW的内网IP:192.168.0.2,也就是邮件服务器的上网一定是通过FW。为了邮件进出数据的路径一致,你必须这样设。不然根本就通不过一邮件服务商的防垃圾检测,那你就没法向这些?.........[/quote 发表:

有的,我一直就是将邮件服务器的GW指向FW的IP;
其实我也总觉得用MASQUERADE不那么好,可能和我以前理解的不一样吧。
对于前面加了那么多规则,是为了防止原来的一些设置会对后来有影响,确实不需要那么多

另外我觉得这个可能不行,感觉有点像我曾写过的一个脚本,它就是没发接收邮件的,数据包没法返回的;具体我得明天去公司再试试看

  2. #!/bin/bash

  4. #load modules
  5. /sbin/modprobe iptable_filter
  6. /sbin/modprobe iptable_nat

  8. # Flush all rules
  9. /sbin/iptables -F
  10. /sbin/iptables -t nat -F

  12. echo 1 >; /proc/sys/net/ipv4/ip_forward

  14. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 80 -i eth1 -j DNAT --to 192.168.0.3:80
  15. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 25 -i eth1 -j DNAT --to 192.168.0.3:25
  16. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 110 -i eth1 -j DNAT --to 192.168.0.3:110
  17. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 211.162.xxx.xxx
复制代码



TO lyking
我内部网络原来已经有GW出去,加上后来做邮件服务器测试时又多了一个GW,所以我上面指的是这二个internet出口
作者: platinum    时间: 2004-06-15 21:03
标题: iptables端口转发后不能收邮件
两个出口,只改SNAT的TO是不行的,因为你的路由并没有改变
作者: lnx    时间: 2004-06-15 22:44
标题: iptables端口转发后不能收邮件
[quote]原帖由 "platinum"]两个出口,只改SNAT的TO是不行的,因为你的路由并没有改变[/quote 发表:

但我的二个出口都是单独的啊(分开二台机器二个静态IP的)虽然说在同一段内,这会有问题吗?
作者: unixli    时间: 2004-06-15 23:12
标题: iptables端口转发后不能收邮件
我写的规则就是我现在正在用的!我的邮件系统用得很好呀!
做邮件系统,最好多加一个MX域名记录,在邮件服务器上设置HELO的域名,这样能通过很多的邮件防垃圾检测。

同一段内有多个出口没问题的,最终从那个出口出就看你路由了。不过这要被人攻击的机会就大多了,所以你还是要多加点安全规则了。
作者: platinum    时间: 2004-06-16 00:58
标题: iptables端口转发后不能收邮件
原帖由 "lnx" 发表:

但我的二个出口都是单独的啊(分开二台机器二个静态IP的)虽然说在同一段内,这会有问题吗?

画个拓扑图出来吧,光说恐怕说不清楚
作者: lnx    时间: 2004-06-17 11:25
标题: iptables端口转发后不能收邮件
unixli说的:

  2. 我写的规则就是我现在正在用的!我的邮件系统用得很好呀!
  3. 做邮件系统,最好多加一个MX域名记录,在邮件服务器上设置HELO的域名,这样能通过很多的邮件防垃圾检测。

  5. 同一段内有多个出口没问题的,最终从那个出口出就看你路由了。不过这要被人攻击的机会就大多了,所以你还是要多加点安全规则了。
复制代码

昨天给公司的网站搞了一天,所以没有时间测试

====
刚才测试了下,你的那个脚本可以正常收、发邮件,也可以访问其它网站,但mailsrv没法访问自己(:mailsrv不能访问211.162.xxx.xxx或www.abc.com、ip和域名都是mailsrv本机的)
=========
TO 白金
现在二个出口的意思是:原来内部网络全部通过192.168.0.1访问外网,现在我在测试的这台机器(192.168.0.2)因为加上了IP转发,从而也可以通过它出去
作者: platinum    时间: 2004-06-17 12:00
标题: iptables端口转发后不能收邮件
晕,你把192.168.0.1和192.168.0.2设成同一个网关了?

没必要!

如果那样的话,你这个脚本是在哪做的?如果是在192.168.0.1上做的,那就没什么用了!
作者: lnx    时间: 2004-06-17 12:09
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:
晕,你把192.168.0.1和192.168.0.2设成同一个网关了?

没必要!

如果那样的话,你这个脚本是在哪做的?如果是在192.168.0.1上做的,那就没什么用了!

没有啊,各自是分开的。
内部所有用户的网关都是192.168.0.1
mailsrv和测试机器的网关才是192.168.0.2
作者: unixli    时间: 2004-06-17 12:09
标题: iptables端口转发后不能收邮件
是正常的,因你的mailsrv指定的DNS是公网的,而我的规则没定义从内网到你公网IP的转发。你可以加一个内网进eth0到公网IP的转发规则。或者你直接用192.168.0.3访问你的mailsrv服务器。
你其它从192.168.0.1出口出去的客户端访问你mailsrv时是从192.168.0.1出到公网再从公网经过192.168.0.2进到mailsrv的,这样就绕了一圈了,所以你最好建一个内网DNS,这样访问内网服务器时就不用出公网了。
作者: platinum    时间: 2004-06-17 13:43
标题: iptables端口转发后不能收邮件
原帖由 "lnx" 发表:

没有啊,各自是分开的。
内部所有用户的网关都是192.168.0.1
mailsrv和测试机器的网关才是192.168.0.2

你还是画个图吧
我不知道你说的.2那个到底是MAILSERVER了,还是网关了
也不明白MAILSERVER的网关为什么要设成.2了
作者: lnx    时间: 2004-06-17 13:47
标题: iptables端口转发后不能收邮件
原帖由 "unixli" 发表:
是正常的,因你的mailsrv指定的DNS是公网的,而我的规则没定义从内网到你公网IP的转发。你可以加一个内网进eth0到公网IP的转发规则。或者你直接用192.168.0.3访问你的mailsrv服务器。
你其它从192.168.0.1出口出去?.........

谢谢!
我本来就是想这样做的,其它分公司的访问从公网进来,而我们内部就直接通过我们的内部的DNS访问;

另外想问下:我这样做后,FW会不会因为访问的人过多而当掉(不计我们内部的访问人数,单是分公司的都会有500到700左右个用户且我们的邮件服务器是通过WEB来访问的)?
注:FW我准备找一台P41.7G、256RAM、40GHD的联想机器来担当(公司的机器都是联想的)
作者: unixli    时间: 2004-06-17 13:59
标题: iptables端口转发后不能收邮件
你的FW的配置基本够用了,它主要是做一个转发。不过最好能用一些好点的网卡,比如3COM、INTEL的。现在问题是你的公网带宽够不够?还有你的mailsrv服务器是不是专用的服务器?
作者: platinum    时间: 2004-06-17 14:03
标题: iptables端口转发后不能收邮件
[quote="lnx"]
FW我准备找一台P41.7G、256RAM、40GHD的联想机器来担当[quote]
根本没必要!
PII-500MHz的机器,256MRAM,10G硬盘足够了!
作者: unixli    时间: 2004-06-17 14:07
标题: iptables端口转发后不能收邮件
如你192.168.0.1出口用的是硬件防火墙,最好把软件FW去了,直接用它做出口。毕竟公司安全还是比较重要的!
不知你的另一公网出口是不是硬件防火墙?
作者: lnx    时间: 2004-06-17 14:13
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:

你还是画个图吧
我不知道你说的.2那个到底是MAILSERVER了,还是网关了
也不明白MAILSERVER的网关为什么要设成.2了

图如下面所示:(说明,这只是说明问题,并不是实际上的,实际上我利用掩码进行了划分的,还有包括WEB、FTP及对应的防火墙(sonicwal)没画上)
====
原来论坛不允许上传.png图片的

1.gif (18.88 KB, 下载次数: 13)

1.gif
作者: lnx    时间: 2004-06-17 14:18
标题: iptables端口转发后不能收邮件
原帖由 "unixli" 发表:
如你192.168.0.1出口用的是硬件防火墙,最好把软件FW去了,直接用它做出口。毕竟公司安全还是比较重要的!
不知你的另一公网出口是不是硬件防火墙?

那硬件防火墙性能不大好,对于WEB和FTP都够呛的了,所以MAIL的我考虑用LINUX做,到时规则一条条加吧,另外,MAIL服务器是专用的,不过也不大好,只是联想的T200,至于带宽肯定够的,用的是10M 光纤拉进来的。

白金说
  1. PII-500MHz的机器,256MRAM,10G硬盘足够了!
复制代码

太差了点吧?虽然说只是转发,但也有一定的访问数量的
作者: unixli    时间: 2004-06-17 14:35
标题: iptables端口转发后不能收邮件
FW的端口画错了吧,有两个eth1了。
不够用时你再申请换服务器!
作者: platinum    时间: 2004-06-17 14:37
标题: iptables端口转发后不能收邮件
TO lnx:
1、你的图我没看懂,FW两个都是eth1?
2、GW的eth0和eth1是两个连INTERNET的路由吗?
3、用户访问MAILSERVER,是从哪边进来?
4、你们的FW不连GW吗?那样的话,FW的作用是什么?
5、MAILSERVER从哪出去?直接走GW还是FW?

总体感觉:设备冗余,线路繁乱,设计不太合理
作者: lnx    时间: 2004-06-17 15:33
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:
TO lnx:
1、你的图我没看懂,FW两个都是eth1?
2、GW的eth0和eth1是两个连INTERNET的路由吗?
3、用户访问MAILSERVER,是从哪边进来?
4、你们的FW不连GW吗?那样的话,FW的作用是什么?
5、MAILSERVER从哪出去..........

不好意思,匆忙画的,有些地方画错了
1、FW连接internet的是eth1,接mailsrv的是eth0
2、GW的eth0接internet,eth1接的是内部交换机,eth2是接mailsrv的网段(进行过VLAN划分的)
3、内部访问mailsrv是从GW的eth2出去
4、FW与GW二机之间进行连接,但二个网段之间不进行连接的,因为二个事实上不处于同一段内的,FW主要作用就是我们前面讨论的内容,作mailsrv的转发。
5、mailsrv有二快网卡,是从FW出去的

以上只是由于我用的都是192.168.0.1-192.168.1.254段,所以造成大家的误会,如果我分开写就会好些了(比如FW这边我用172.16.0.0,但我事实上用的是192.168.0.0段,掩码用的是255.255.254.0,但整个网络经过VLAN划分的。大家可以不必在于我的网络
作者: platinum    时间: 2004-06-17 16:46
标题: iptables端口转发后不能收邮件
现在看明白了
其实你这么做的目的在于你的MAILSERVER和OFFICE网络不在一个网段

用户可以到外面绕一圈到MAILSERVER上,但这样就慢了,而且多此一举
于是你就这样连了是吧:)

看你的网络,你把GW和FW合并不行吗?也不用那么费事了
作者: lnx    时间: 2004-06-17 17:23
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:
现在看明白了
看你的网络,你把GW和FW合并不行吗?也不用那么费事了

合并怕影响性能啊,我那GW只128RAM,每次用top看时:
CPU states:  0.4% user,  0.6% system,  0.0% nice,  0.4% idle
Mem:   125108K av,  123836K used,    1272K free,       0K shrd,    8312K buff
Swap: 1020116K av,   17884K used, 1002232K free                   55408K cached
所以GW根本承受不起啊。
其实主要目的还是为了安全点,不让mailsrv直接对外(公司目前来说不会再购买第二台硬件FW的,原来那台简直是根鸡肋)
作者: platinum    时间: 2004-06-17 17:29
标题: iptables端口转发后不能收邮件
你的GW配置有问题
CPU states: 0.4% user, 0.6% system, 0.0% nice, 0.4% idle
这个可能吗?3个加起来一共不到1%,你其他99%去哪了?

在网关上
netstat -lnp
然后贴出来看看
作者: lyking    时间: 2004-06-17 17:33
标题: iptables端口转发后不能收邮件
楼主是不是为了做试验,又不影响用户对网络的访问才这样结?
作者: lnx    时间: 2004-06-17 17:54
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:
你的GW配置有问题
CPU states: 0.4% user, 0.6% system, 0.0% nice, 0.4% idle
这个可能吗?3个加起来一共不到1%,你其他99%去哪了?

在网关上
netstat -lnp
然后贴出来看看
  1. CPU states: 0.4% user, 0.6% system, 0.0% nice, 0.4% idle
复制代码

这个是随机突变的,由于我刚才一运行top命令后就CP了,所以“0.4%idele”不大准确吧,过一段时间后会慢慢恢复,大概在于90几吧;不过我计算过,无论怎么样也没有100%,总的最多才99.8%。不过GW确实当过机(当时运行了124days)
另,
  1. netstat -lnp
复制代码

只是列出本机的监听端口、程序名、PId而已。我的GW只运行SQUID+IPTABLES
作者: lnx    时间: 2004-06-17 17:59
标题: iptables端口转发后不能收邮件
[quote]原帖由 "lyking"]楼主是不是为了做试验,又不影响用户对网络的访问才这样结?[/quote 发表:

测试时是这样,但测试好后我应该也会这么做的,今天在准备弄一台debian,想了想还是用RH,毕竟对RH熟悉些(HOHO,为了安全起见,应该所有服务都不会安装的,就只做端口转发,我对LINUX安全不大熟悉 ,看了些高手写的LINUX安全配置,感觉出了问题自己都不会处理了
作者: platinum    时间: 2004-06-17 19:02
标题: iptables端口转发后不能收邮件
只做iptables+squid,没人动,124天后死机过?!
不敢相信!!!
作者: lnx    时间: 2004-06-17 19:51
标题: iptables端口转发后不能收邮件
原帖由 "platinum" 发表:
只做iptables+squid,没人动,124天后死机过?!
不敢相信!!!

这是真的
大概在于120天左右用过uptime看过1次,再过几天后突然整个内部网络不能外出;想用SSH也没法连接,就跑去看,当时记得整个屏幕都有很多字符,按什么键(键盘上的)都没反应而为了尽快恢复网络就不多快直接按reset了,reset后就正常了;
后来看日志时,里面大概说什么冲突、什么quota之类的(不大记得太多了 ),cache也就只有7g多,我设的是10g的,反正看不出是哪里出的问题,就清空了cache继续使用到今(又有二个多月了吧)
作者: platinum    时间: 2004-06-17 20:41
标题: iptables端口转发后不能收邮件
晕!!!
竟然这样!!!!!!!
真的不敢相信!!!!!!!!!!!!!



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2