作者 主題: [問題]小弟祇想讓自己的mail能夠由系統主機發出..請問iptables的語法  (閱讀 3143 次)

0 會員 與 1 訪客 正在閱讀本文。

good1557

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
因為自己架論壇,是用nat的方式,但小弟因為祇想把port 25 110 143 能夠自己routing出去,請問postrouting語法為何...因為試了一倆天都沒有成功....請問有哪位好心人提供一下丫 :D

Anderson Wu

  • 懷疑的國中生
  • **
  • 文章數: 80
    • 檢視個人資料
iptables -t nat -P POSTROUTING DROP
iptables -t nat -A POSTROUTING -p tcp -o eth0 --sport 25 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o eth0 --sport 110 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o eth0 --sport 143 -j ACCEPT

wangfang

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
樓上的
你的iptables rules有些問題喲
第一條的rules就會將所有的東東都擋掉囉
-----------------------------------------------------------------------------------
還有,你問的是單機firewall(放在nat firewall後面),還是nat firewall本身(本機的port開放),因為兩種方式的rules有點不同

還有,應該是PREROUTING吧~~而不是POSTROUTING

Anderson Wu

  • 懷疑的國中生
  • **
  • 文章數: 80
    • 檢視個人資料
引述: "wangfang"
樓上的
你的iptables rules有些問題喲
第一條的rules就會將所有的東東都擋掉囉 ←他的目的是擋掉所有port,開放想要開放的port,所以預設規則設定為DROP。
-----------------------------------------------------------------------------------
還有,你問的是單機firewall(放在nat firewall後面),還是nat firewall本身(本機的port開放),因為兩種方式的rules有點不同

還有,應該是PREROUTING吧~~而不是POSTROUTING

我給的只有POSTROUTING Chain部份的rules,當然還有其他Chain(PREROUTING、INPUT、FORWARD、OUTPUT)的rules要加進去才行,我只回答他所問的POSTROUTING部份的rules,倒是有一點我沒想到,正如你所說的“單機firewall(放在nat firewall後面),還是nat firewall本身(本機的port開放)”,另一種情況我沒有考慮到,因為兩種情況下的rules寫法是完全不一樣的,小弟真的是深感到很抱歉 :oops: 。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
簡單來說,原構思是有問提的。

舉個例子:
server 要查別人的 dns 嗎?
若然,它用的 port 就不是那 3 個,而是隨機選的。

又,用 smtp 將 email 送給別的 MTA ,亦然。

還有,更多....

------
至於 Policy 跟 Rule Order 的關係,請 wangfang 兄再思考一下...

good1557

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
不好意思,簡單說明一下架構,因為我的ip是固定的,但又不想架dns,所以用了dns來代管方式,
因為本身web電腦是xp,但我是用redhat當router,我試過prerouting都ok,但因為人家來註冊,當web這台電腦和mail server是架在一齊的,所以單純祇想可以讓系統自動的發信和收信

經測試結果例如我的web子網在192.168.1.1 而在iptables 裡不用masquerade
單單祇用25 110 143讓系統可以自己發信是如何做......

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
嗯... 給個良心建議:
iptables 需要很強的 tcp/ip 基礎才能設好...
否則,還是請別人來弄。要不,實在會多不少白頭髮出來哦....

good1557

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
看到log的問題,變成了主機需要架個mail server才可以正確的發信,發信端在router這一台,
但我想用nat裡面這台來發信,的確是有問題.........救命啊

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
如果想從甘蔗頭開始啃 http://www.study-area.org/linux/servers/linux_nat.htm 是比較甜。
如果想從甘蔗尾開始嗑 http://www.study-area.org/network/networkfr1.htm 起先比較無味,但能漸入佳境。

您這個問題牽涉到 mail DNS iptables NAT ...... 諸多服務設定,可以說是聯合作戰的模式,您說複不複雜?
我的建議:如果不急,簡單能動就好,急,花錢找人。然後,開始倒吃甘蔗吧!

good1557

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
用dns我也會做,而且成功了,為什麼要代管dns,除了人力有限外,所以才有這種的想法,既然沒有明確答案,或是小弟我的構思有點問題就作罷了!!
這祇是一個想法啦

wangfang

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
引述: "shen0830"
iptables -t nat -P POSTROUTING DROP
iptables -t nat -A POSTROUTING -p tcp -o eth0 --sport 25 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o eth0 --sport 110 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o eth0 --sport 143 -j ACCEPT


不好意思
沒看見第一條rules是用policy,以為是add
sorry~~

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
引述: "good1557"
用dns我也會做,而且成功了,...

嗯... 反過來,我倒不覺得我對 dns 有多會做啦...

若你能回答如下 20 題,再回來重新說說你多會了?  ^_^
http://phorum.study-area.org/viewtopic.php?t=17498
http://phorum.study-area.org/viewtopic.php?t=17564