iptables端口转发后不能收邮件

platinum

楼主的INPUT和FORWARD的默认规则是什么？
我怀疑你的FORWARD是DROP，但没反映到你的SHELL里
如果默认规则是ACCEPT，那么那两句FORWARD就没用了
如果确实是DROP，那么肯定是不行的，因为少了几句话

q1208c

原帖由 "lnx" 发表：

那我该怎么使用它？
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.3/24 -j MASQUERADE
这样吗？
好像我理解的MASQUERADE和SNAT不是这样子的

这样之后还不行么？

lyking

/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.1

这句好像有问题,这样设置岂不是在网关处截断了返回的通信流.

yuipr

这是个很有深度的问题呀，大家都来说说吧

race

iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT   --to-destination $HTTP_IP

这个是内网机器访问内网HTTP服务器的例子，可以比着改成你的MAIL服务器试一下。

platinum

[quote]原帖由 "yuipr"]这是个很有深度的问题呀，大家都来说说吧[/quote 发表：

其实没什么，应该是楼主的防火墙设置有问题

lnx

还是没法正常接收，只能发出去
TO 白金 ，我一般在运行FW前都会运行这几行的，按理说应该不会再有问题的吧？

1. 
   
2. /sbin/iptables -F
   
3. /sbin/iptables -X
   
4. /sbin/iptables -t nat -F
   
5. /sbin/iptables -t nat -X

复制代码

platinum

你的目的是什么
你的防火墙，只要有个iptables -t nat -A POSTROUTING -j MASQUERADE就解决了
其他都没用

lnx

原帖由 "platinum" 发表：
你的目的是什么
你的防火墙，只要有个iptables -t nat -A POSTROUTING -j MASQUERADE就解决了
其他都没用

目的是想让MAILSRV放在内部（就一个内部IP），外面所有人都可访问（MAIL已做成WEB页面的，用的是Domino For Win）。所以想利用一台机来做端口转发来实现。
现在的情况是：采用端口转发后，外面可访问、发邮件、但所有发向该域名的邮件都没法接收。如果我直接将内部IP改为公网IP就可以收、发正常（说明MAILSRV是正常的）

lnx

我现在的FW如下：（其它修改没效时都恢复成原来我自己初始写的；另有静态IP和对应域名的）
(注：mailsrv-ip=>;192.168.0.3   fw-ip=>;eth0=192.168.0.2  eth1=211.162.xxx.xxx)

1. 
   
2. #!/bin/bash
   
3. 
   
4. #Load Modules
   
5. /sbin/modprobe ip_tables
   
6. /sbin/modprobe iptable_filter
   
7. /sbin/modprobe iptable_nat
   
8. /sbin/modprobe ip_conntrack
   
9. /sbin/modprobe ip_conntrack_ftp
   
10. /sbin/modprobe ip_nat_ftp
    
11. 
    
12. # Reset Default Policies
    
13. /sbin/iptables -P INPUT ACCEPT
    
14. /sbin/iptables -P FORWARD ACCEPT
    
15. /sbin/iptables -P OUTPUT ACCEPT
    
16. /sbin/iptables -t nat -P PREROUTING ACCEPT
    
17. /sbin/iptables -t nat -P POSTROUTING ACCEPT
    
18. /sbin/iptables -t nat -P OUTPUT ACCEPT
    
19. /sbin/iptables -t mangle -P PREROUTING ACCEPT
    
20. /sbin/iptables -t mangle -P OUTPUT ACCEPT
    
21. 
    
22. # Flush all rules
    
23. /sbin/iptables -F
    
24. /sbin/iptables -t nat -F
    
25. /sbin/iptables -t mangle -F
    
26. 
    
27. # Erase all non-default chains
    
28. /sbin/iptables -X
    
29. /sbin/iptables -t nat -X
    
30. /sbin/iptables -t mangle -X
    
31. 
    
32. 
    
33. echo 1 >; /proc/sys/net/ipv4/ip_forward
    
34. 
    
35. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth1 -j SNAT --to 211.162.xxx.xxx  (说明，因为我还想自己通过这台机器上网，所以加了这句；当然其它人是通过一台有限制的FW上网的):)
    
36. 
    
37. #ports forward
    
38. #/sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 80 -j DNAT --to 192.168.0.3
    
39. #/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.2
    
40. (曾有转发过25、110，但无效后都去掉了)
    
41. #allow 25/80/110 ports
    
42. #/sbin/iptables -I FORWARD -p tcp --dport 110 -j ACCEPT
    
43. #/sbin/iptables -I FORWARD -p tcp --dport 25 -j ACCEPT
    
44. #/sbin/iptables -I FORWARD -p tcp --dport 80 -j ACCEPT
    

复制代码