iptables端口转发后不能收邮件

platinum

现在用MASQUERADE已经行了，所以就没试SNAT
有朝一日重新做系统的时候，可以试试看

lnx

[quote]原帖由 "unixli"]lnx 你好像没把邮件服务器的默认网关指向FW的内网IP：192.168.0.2，也就是邮件服务器的上网一定是通过FW。为了邮件进出数据的路径一致，你必须这样设。不然根本就通不过一邮件服务商的防垃圾检测，那你就没法向这些?.........[/quote 发表：

有的，我一直就是将邮件服务器的GW指向FW的IP；
其实我也总觉得用MASQUERADE不那么好，可能和我以前理解的不一样吧。
对于前面加了那么多规则，是为了防止原来的一些设置会对后来有影响，确实不需要那么多

另外我觉得这个可能不行，感觉有点像我曾写过的一个脚本，它就是没发接收邮件的，数据包没法返回的；具体我得明天去公司再试试看

1. 
   
2. #!/bin/bash
   
3. 
   
4. #load modules
   
5. /sbin/modprobe iptable_filter
   
6. /sbin/modprobe iptable_nat
   
7. 
   
8. # Flush all rules
   
9. /sbin/iptables -F
   
10. /sbin/iptables -t nat -F
    
11. 
    
12. echo 1 >; /proc/sys/net/ipv4/ip_forward
    
13. 
    
14. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 80 -i eth1 -j DNAT --to 192.168.0.3:80
    
15. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 25 -i eth1 -j DNAT --to 192.168.0.3:25
    
16. /sbin/iptables -t nat -A PREROUTING -d 211.162.xxx.xxx -p tcp --dport 110 -i eth1 -j DNAT --to 192.168.0.3:110
    
17. /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 211.162.xxx.xxx

复制代码

TO lyking
我内部网络原来已经有GW出去，加上后来做邮件服务器测试时又多了一个GW，所以我上面指的是这二个internet出口

platinum

两个出口，只改SNAT的TO是不行的，因为你的路由并没有改变

lnx

[quote]原帖由 "platinum"]两个出口，只改SNAT的TO是不行的，因为你的路由并没有改变[/quote 发表：

但我的二个出口都是单独的啊（分开二台机器二个静态IP的）虽然说在同一段内，这会有问题吗？

unixli

我写的规则就是我现在正在用的！我的邮件系统用得很好呀！
做邮件系统，最好多加一个MX域名记录，在邮件服务器上设置HELO的域名，这样能通过很多的邮件防垃圾检测。

同一段内有多个出口没问题的，最终从那个出口出就看你路由了。不过这要被人攻击的机会就大多了，所以你还是要多加点安全规则了。

platinum

原帖由 "lnx" 发表：

但我的二个出口都是单独的啊（分开二台机器二个静态IP的）虽然说在同一段内，这会有问题吗？

画个拓扑图出来吧，光说恐怕说不清楚

lnx

unixli说的:

1. 
   
2. 我写的规则就是我现在正在用的！我的邮件系统用得很好呀！
   
3. 做邮件系统，最好多加一个MX域名记录，在邮件服务器上设置HELO的域名，这样能通过很多的邮件防垃圾检测。
   
4. 
   
5. 同一段内有多个出口没问题的，最终从那个出口出就看你路由了。不过这要被人攻击的机会就大多了，所以你还是要多加点安全规则了。

复制代码

昨天给公司的网站搞了一天，所以没有时间测试

＝＝＝＝
刚才测试了下，你的那个脚本可以正常收、发邮件，也可以访问其它网站，但mailsrv没法访问自己（：mailsrv不能访问211.162.xxx.xxx或www.abc.com、ip和域名都是mailsrv本机的）
=========
TO 白金
现在二个出口的意思是：原来内部网络全部通过192.168.0.1访问外网，现在我在测试的这台机器（192.168.0.2）因为加上了IP转发，从而也可以通过它出去

platinum

晕，你把192.168.0.1和192.168.0.2设成同一个网关了？

没必要！

如果那样的话，你这个脚本是在哪做的？如果是在192.168.0.1上做的，那就没什么用了！

lnx

原帖由 "platinum" 发表：
晕，你把192.168.0.1和192.168.0.2设成同一个网关了？

没必要！

如果那样的话，你这个脚本是在哪做的？如果是在192.168.0.1上做的，那就没什么用了！

没有啊，各自是分开的。
内部所有用户的网关都是192.168.0.1
mailsrv和测试机器的网关才是192.168.0.2

unixli

是正常的，因你的mailsrv指定的DNS是公网的，而我的规则没定义从内网到你公网IP的转发。你可以加一个内网进eth0到公网IP的转发规则。或者你直接用192.168.0.3访问你的mailsrv服务器。
你其它从192.168.0.1出口出去的客户端访问你mailsrv时是从192.168.0.1出到公网再从公网经过192.168.0.2进到mailsrv的，这样就绕了一圈了，所以你最好建一个内网DNS，这样访问内网服务器时就不用出公网了。