IPtables防火墙配置异常，请大师指教？？

bransh

现手头一台IPtables防火墙经过固定IP公网并作端口映射，配置内容如下：
问题是：内网一台Sendmail邮件服务器（IP：10.2.5.50）用公网IP不可以收信？但可以发信，用内网IP收发是没有问题的，故邮件服务器应该没有问题，请高手大师指教？？感谢感谢

备注：DNS服务器是10.2.5.81

echo "     - FWD: Allow all connections OUT and only existing/related IN"
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $DMZIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $DMZIF -o $INTIF -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $INTIF -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $DMZIF -j ACCEPT
#$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -p tcp --dport 82 -j ACCEPT


# Any source going to DMZ for http, https, ssh is valid
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 443 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 143 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 21 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 8080 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 2222 -j ACCEPT
#$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p udp --dport 4672 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 5900 -j ACCEPT


$IPTABLES -A FORWARD -o $EXTIF -i $DMZIF -m state --state ESTABLISHED,RELATED -j ACCEPT

# Mail server deliverying email is ok
$IPTABLES -A FORWARD -i $DMZIF -o $EXTIF -p tcp --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -o $DMZIF -i $EXTIF -p tcp --sport 25 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 6000 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 6001 -j ACCEPT
$IPTABLES -A FORWARD -i $DMZIF -o $INTIF -p tcp --dport 9100 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 2016 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 2016 -j ACCEPT

#Webmin login valid
$IPTABLES -A INPUT -p tcp --dport 10000 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 10000 -j ACCEPT

# Any source coming in the FTP server is valid
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp -d 10.2.5.10 --dport 21 -j ACCEPT
$IPTABLES -A FORWARD -o $EXTIF -i $DMZIF -m state --state ESTABLISHED,RELATED -j ACCEPT

# DMZ going out for DNS is valid
$IPTABLES -A FORWARD -i $DMZIF -o $EXTIF -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $DMZIF -o $EXTIF -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $DMZIF -o $EXTIF -p tcp --dport 21 -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -m  state --state ESTABLISHED,RELATED  -j ACCEPT
#$IPTABLES -A FORWARD -i $EXTIF -o $DMZIF -p tcp --dport 22 -j ACCEPT

echo "     - IPsec: Allow all IPsec connections"
# IPsec rule, allow forwarding of IPsec traffic
#
$IPTABLES -A FORWARD -i ipsec+ -j ACCEPT
$IPTABLES -A FORWARD -o ipsec+ -j ACCEPT

# Catch all rule, all other forwarding is denied and logged.
#
$IPTABLES -A FORWARD -j drop-and-log-it


echo "     - NAT: Enabling SNAT (MASQUERADE) functionality on $EXTIF"
#
#More liberal form
#$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
#
#Stricter form
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

echo "     - NAT: Enabling DNAT for DMZ machines"
#
# Web Server
$IPTABLES -t nat -A PREROUTING -p tcp -d $VEXTIP --dport 80 -j DNAT --to 10.2.5.12:80
$IPTABLES -t nat -A PREROUTING -p tcp -d $VEXTIP --dport 443 -j DNAT --to 10.2.5.12:443
$IPTABLES -t nat -A PREROUTING -p udp -d $VEXTIP --dport 53 -j DNAT --to 10.2.5.81:53
$IPTABLES -t nat -A PREROUTING -p tcp -d $VEXTIP --dport 53 -j DNAT --to 10.2.5.81:53
$IPTABLES -t nat -A PREROUTING -p tcp -d $VEXTIP --dport 25 -j DNAT --to 10.2.5.15:25
$IPTABLES -t nat -A PREROUTING -p tcp -d $VEXTIP --dport 110 -j DNAT --to 10.2.5.15:110
$IPTABLES -t nat -A PREROUTING -p tcp -d $VEXTIP --dport 110 -j DNAT --to 10.2.5.50:110
$IPTABLES -t nat -A PREROUTING -p tcp -d $VEXTIP --dport 110 -j DNAT --to 10.2.5.55:110
$IPTABLES -t nat -A PREROUTING -p tcp -d $vextip --dport 25 -j DNAT --to 10.2.5.50:25
$IPTABLES -t nat -A PREROUTING -p tcp -d $VEXTIP --dport 143 -j DNAT --to 10.2.5.15:143

# VNC Server
$IPTABLES -t nat -A PREROUTING -p tcp -d 10.2.6.254 --dport 5900 -j DNAT --to 10.2.6.60:5900

# Mail Server
$IPTABLES -t nat -A PREROUTING -p tcp -d $VEXTIP --dport 6000 -j DNAT --to 10.2.5.50:80

bransh

在线等，请高手指教 ，感激感激

ruochen

dns用view？

内外网的ip是怎么配置的，你的问题应该是在dns或者fw的配置上
看能不能用工具跟踪一下过程，看是在哪个环节被drop了

bransh

回版主：DNS记录如下，请指教
hostname.com       名称服务器（NS）  NS.hostname.com
hostname.com       邮件交换器（MX）  mail.hostname.com
mail                           主机（A）        218.X.57.210

防火墙配置已如帖所示，请赐教？

bransh

请版主帮帮忙，问题是出在哪？？谢谢

ruochen

公网telnet 110

bransh

公网TELNET 110是出现：在110端口打开错误？
TELNET 25就是顺畅的

刘五十三

你研究一下
iptables-save
的结果
或
/etc/init.d/iptables status
的结果，对比一下25和110的有什么不一样的地方。

bransh

iptables-save结果如下：
[root@hx-gw root]# iptables-save
# Generated by iptables-save v1.2.7a on Wed Nov  4 19:11:03 2009
*nat
REROUTING ACCEPT [54108:3814413]
OSTROUTING ACCEPT [12930:848080]
:OUTPUT ACCEPT [3418:286723]
-A PREROUTING -d 59.Ｘ.70.2１0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.2.5.12:80
-A PREROUTING -d 59.Ｘ.70.2１0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.2.5.12:443
-A PREROUTING -d 59.Ｘ.70.2１0 -p udp -m udp --dport 53 -j DNAT --to-destination 10.2.5.81:53
-A PREROUTING -d 59.Ｘ.70.210 -p tcp -m tcp --dport 53 -j DNAT --to-destination 10.2.5.81:53
-A PREROUTING -d 59.Ｘ.70.210 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.2.5.15:25
-A PREROUTING -d 59.Ｘ.70.210 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.2.5.15:110

/etc/init.d/iptables status结果如下：

[root@hx-gw root]# iptables-save
# Generated by iptables-save v1.2.7a on Wed Nov  4 19:11:03 2009
*nat
REROUTING ACCEPT [54108:3814413]
OSTROUTING ACCEPT [12930:848080]
:OUTPUT ACCEPT [3418:286723]
-A PREROUTING -d 59.X.70.210 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.2.5.12:80
-A PREROUTING -d 59.X.70.210 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.2.5.12:443
-A PREROUTING -d 59.X.70.210 -p udp -m udp --dport 53 -j DNAT --to-destination 10.2.5.81:53
-A PREROUTING -d 59.X.70.210 -p tcp -m tcp --dport 53 -j DNAT --to-destination 10.2.5.81:53
-A PREROUTING -d 59.X.70.210 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.2.5.15:25
-A PREROUTING -d 59.X.70.210 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.2.5.15:110

个人感觉没什么区别啊？请各位高手大师指点？？感激感激

bransh

版主在不在啊？帮帮忙解决一下啦，感激感激