3proxy+thunderbird+mail.ru

[Уменялапки]

Здравствуйте.
Задача настроить 3proxy чтобы компьютеры в локальной сети получали интернет и работала почта mail.ru через thunderbird.

Как настроены сетевые карты
Сервер на Altlinux server 8 и двумя сетевыми картами enp3s1 и enp2s0.
Enp2s0 смотрит в мир с настройками: ip 177.17.0.117, mask 255.255.255.0, gtw 177.17.0.116
Enp3s1 смотрит в локальную сеть с настройками: ip 127.20.11.2, mask 255.255.255.0
Адреса указаны для примера.
Как настроен файрвол
Через "центр управления системой" разрешены входящие соединения на enp2s0: почтовый сервер imap, pop3 и smtp и интернет http/https. Дополнительно открыты порты tcp/udp 1080.

Как настроен 3proxy
Настраивал по руководству https://forum.altlinux.org/index.php?topic=42865.0.

Код: [Выделить]

daemon

# Записывать pid текущего процесса в файл
pidfile /usr/local/3proxy/3proxy.pid

## Локальный сетевой адрес
internal 127.20.11.2
## Внешний сетевой адрес
external 177.17.0.117
nserver 193.58.251.251
nscache 65536

## формат журналирования
logformat "L%C %I %O - %U [%d/%o/%Y:%H:%M:%S %z] ""%T"" %E %N/%R:%r"
log /usr/local/3proxy/logs/3proxy_u.log D

## Следить за изменениями в файлах и применять их без перезапуска прокси сервера
monitor "/usr/local/3proxy/3proxy.cfg"

## чтобы в папке с логами сохранялись лишь последние 30 файлов
rotate 30
counter "/usr/local/3proxy/3proxy.3cf" D "/usr/local/3proxy/traf/traf"
countin 101/day D 1000000 *

## Веб
flush
auth none
allow * * * *
proxy -p53128 -n -a -t
socks -p1080 -n

## Почта
flush
auth none
allow * * * 465,995,993,2995,2465,2993 * 1-7 00:00:00-23:59:59
tcppm -i127.20.11.2 2995 pop.mail.ru 995
tcppm -i127.20.11.2 2465 smtp.mail.ru 465
pop3p -p995 -i177.17.0.117
smtpp -p465 -i177.17.0.117

Что получилось
Работает на локальных компьютерах только http/https через 3proxy. Thunderbird через протоколы Imap, pop3, smtp и socks не работают.
Помогите найти решение.

[YYY]

tcppm -i127.20.11.2 2995 pop.mail.ru 995
tcppm -i127.20.11.2 2465 smtp.mail.ru 465
pop3p -p995 -i177.17.0.117
smtpp -p465 -i177.17.0.117

а вы можете объяснить, что вы тут делаете? о_О

Какие ип и порты на маил-клиенте прописали?

[Уменялапки]

tcppm -i127.20.11.2 2995 pop.mail.ru 995
tcppm -i127.20.11.2 2465 smtp.mail.ru 465
pop3p -p995 -i177.17.0.117
smtpp -p465 -i177.17.0.117

а вы можете объяснить, что вы тут делаете? о_О

Какие ип и порты на маил-клиенте прописали?

Перенаправление портов с локальной сетевой на глобальную.

Код: [Выделить]

pop3p -p995 -i177.17.0.117
smtpp -p465 -i177.17.0.117 Вероятно эта опция не требуется. При такой настройке порты доступны извне.
Даже если эту настройку убрать из конфига - не работает thunderbird.

Настройки учётной записи на thunderbird'е
Входящая почта:

pop 127.20.11.2, порт 2995, ssl/tls
smtp 127.20.11.2, порт 2465, ssl/tls

Лог

Код: [Выделить]

127.20.11.2 0 0 - - [30/Jan/2020:13:55:07 +0500] "Accepting connections [18001/413091584]" 00000 SOCKS/177.17.0.117:0
127.20.11.2 0 0 - - [30/Jan/2020:13:55:07 +0500] "Accepting connections [18001/412878592]" 00000 TCPPM/177.17.0.117:0
127.20.11.2 0 0 - - [30/Jan/2020:13:55:07 +0500] "Accepting connections [18001/412845824]" 00000 TCPPM/177.17.0.117:0
177.17.0.117 0 0 - - [30/Jan/2020:13:55:07 +0500] "Accepting connections [18001/412813056]" 00000 POP3P/177.17.0.117:0
177.17.0.117 0 0 - - [30/Jan/2020:13:55:07 +0500] "Accepting connections [18001/412780288]" 00000 SMTPP/177.17.0.117:0
127.20.11.5 2851 674 - - [30/Jan/2020:13:55:13 +0500] "CONNECT 127.20.11.2:2995" 00000 SOCK4/127.20.11.2:2995
177.17.0.117 2851 674 - - [30/Jan/2020:13:55:13 +0500] "pop.mail.ru" 00000 TCPPM/94.100.180.74:995
127.20.11.5 2851 674 - - [30/Jan/2020:13:55:13 +0500] "CONNECT 127.20.11.2:2465" 00000 SOCK4/127.20.11.2:2465
177.17.0.117 2851 674 - - [30/Jan/2020:13:55:13 +0500] "smtp.mail.ru" 00000 TCPPM/94.100.180.160:465


[YYY]

а если телнетом соединиться с машины клиента?

telnet 127.20.11.2 2995

Должно писать

Trying...
Connected to ...
Escape character is '^]'.

[Уменялапки]

а если телнетом соединиться с машины клиента?

telnet 127.20.11.2 2995

Должно писать

Trying...
Connected to ...
Escape character is '^]'.

Сделал. Телнет пишет вывод как в вашем примере.
Если написать telnet 177.17.0.117 995 то вывод

Код: [Выделить]

Trying 177.17.0.117...
Connected to 177.17.0.117.
Escape character is '^]'.
+OK Proxy

[rits]

Вот вырезка из рабочего конфига:

Код: [Выделить]

allow * * * 25,110,143,465,587,993,995,2525,52025,52110,52143,52465,52993,52995,51143,51025,51110
51993,51995,51111 *

tcppm -i192.168.8.1 52025 smtp.yandex.ru 25
tcppm -i192.168.8.1 52110 pop.yandex.ru 110
tcppm -i192.168.8.1 52143 imap.yandex.ru 143
tcppm -i192.168.8.1 52993 imap.yandex.ru 993
tcppm -i192.168.8.1 52995 pop.yandex.ru 995
tcppm -i192.168.8.1 52465 smtp.yandex.ru 465

tcppm -i192.168.8.1 51025 smtp.mail.ru 25
tcppm -i192.168.8.1 51110 pop.mail.ru 110
tcppm -i192.168.8.1 51465 smtp.mail.ru 465
tcppm -i192.168.8.1 51995 pop.mail.ru 995
tcppm -i192.168.8.1 51993 imap.mail.ru 993
tcppm -i192.168.8.1 51143 imap.mail.ru 143


[rits]

без параметров

Код: [Выделить]

pop3p
smtpp


[Уменялапки]

без параметров

Код: [Выделить]

pop3p
smtpp


Без указания порта, pop3p и smtpp включаются на 25 и 110 портах. Мейл-ру нужны ssl-порты 465 и 995

Вывод лога с указанием внешнего IP
pop3p -p995 -i177.17.0.117
smtpp -p465 -i177.17.0.117

Код: [Выделить]

127.20.11.2 0 0 - - [31/Jan/2020:12:29:50 +0500] "Accepting connections [17419/791992064]" 00000 SOCKS/177.17.0.117:0
127.20.11.2 0 0 - - [31/Jan/2020:12:29:50 +0500] "Accepting connections [17419/791779072]" 00000 TCPPM/177.17.0.117:0
127.20.11.2 0 0 - - [31/Jan/2020:12:29:50 +0500] "Accepting connections [17419/791746304]" 00000 TCPPM/177.17.0.117:0
177.17.0.117 0 0 - - [31/Jan/2020:12:29:50 +0500] "Accepting connections [17419/791713536]" 00000 POP3P/177.17.0.117:0
177.17.0.117 0 0 - - [31/Jan/2020:12:29:50 +0500] "Accepting connections [17419/791680768]" 00000 SMTPP/177.17.0.117:0

127.20.11.5 2851 674 - - [31/Jan/2020:12:30:02 +0500] "CONNECT 127.20.11.2:2465" 00000 SOCK5/127.20.11.2:2465
127.20.11.5 2851 674 - - [31/Jan/2020:12:30:02 +0500] "CONNECT 127.20.11.2:2995" 00000 SOCK5/127.20.11.2:2995
177.17.0.117 2851 674 - - [31/Jan/2020:12:30:02 +0500] "pop.mail.ru" 00000 TCPPM/94.100.180.74:995
177.17.0.117 2851 674 - - [31/Jan/2020:12:30:02 +0500] "smtp.mail.ru" 00000 TCPPM/94.100.180.160:465

Вывод лога без внешнего IP
pop3p -p995
smtpp -p465

Код: [Выделить]

0.0.0.0 0 0 - - [31/Jan/2020:12:30:59 +0500] "Exiting thread" 00000 TCPPM/177.17.0.117:0
127.20.11.2 0 0 - - [31/Jan/2020:12:30:59 +0500] "Accepting connections [17419/791582464]" 00000 SOCKS/177.17.0.117:0
0.0.0.0 0 0 - - [31/Jan/2020:12:30:59 +0500] "Exiting thread" 00000 TCPPM/177.17.0.117:0
127.20.11.2 0 0 - - [31/Jan/2020:12:30:59 +0500] "Accepting connections [17419/791779072]" 00000 TCPPM/177.17.0.117:0
127.20.11.2 0 0 - - [31/Jan/2020:12:30:59 +0500] "Accepting connections [17419/791549696]" 00000 TCPPM/177.17.0.117:0
127.20.11.2 0 0 - - [31/Jan/2020:12:30:59 +0500] "Accepting connections [17419/791615232]" 00000 POP3P/177.17.0.117:0
127.20.11.2 0 0 - - [31/Jan/2020:12:30:59 +0500] "Accepting connections [17419/791648000]" 00000 SMTPP/177.17.0.117:0
177.17.0.117 0 0 - - [31/Jan/2020:12:30:59 +0500] "Exiting thread" 00000 POP3P/177.17.0.117:0
177.17.0.117 0 0 - - [31/Jan/2020:12:30:59 +0500] "Exiting thread" 00000 SMTPP/177.17.0.117:0

0.0.0.0 0 0 - - [31/Jan/2020:12:31:00 +0500] "Exiting thread" 00000 SOCKS/177.17.0.117:0
127.20.11.5 2851 674 - - [31/Jan/2020:12:31:04 +0500] "CONNECT 127.20.11.2:2995" 00000 SOCK5/127.20.11.2:2995
177.17.0.117 2851 674 - - [31/Jan/2020:12:31:04 +0500] "pop.mail.ru" 00000 TCPPM/217.69.139.74:995
127.20.11.5 2851 643 - - [31/Jan/2020:12:31:04 +0500] "CONNECT 127.20.11.2:2465" 00000 SOCK5/127.20.11.2:2465
177.17.0.117 2851 643 - - [31/Jan/2020:12:31:04 +0500] "smtp.mail.ru" 00000 TCPPM/94.100.180.160:465


[Уменялапки]

Вывод iptables -S
Вдруг поможет понять проблему.

Код: [Выделить]

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -f -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 1080 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 137 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 138 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 220 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 2465 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 2995 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 51465 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 51995 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 53128 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 63215 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -i enp3s1 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 1080 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 110 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 139 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 143 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 22 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 220 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 23 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 2465 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 25 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 2995 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 445 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 51465 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 51995 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 53128 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 587 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 63215 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 80 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 993 -j ACCEPT
-A INPUT -i enp3s1 -p udp -m udp --dport 995 -j ACCEPT
-A INPUT -i enp3s1 -j LOG --log-prefix "iptables: wrong IP/MAC:"
-A INPUT -i enp3s1 -j DROP
-A INPUT -i enp2s0 -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 143 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 220 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 220 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 993 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 110 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 995 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 25 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 587 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 80 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 1080 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 2995 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 2465 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 53128 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 63215 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 51995 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m tcp --dport 51465 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 1080 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 2995 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 2465 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 53128 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 63215 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 25 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 110 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 51995 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m udp --dport 51465 -j ACCEPT
-A INPUT -i enp2s0 -j DROP
-A FORWARD -f -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 127.20.11.3/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 1080 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 137 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 138 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 139 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 220 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 23 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 2465 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 2995 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 51465 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 51995 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 53128 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 631 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 63215 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 993 -j ACCEPT
-A FORWARD -i enp3s1 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 1080 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 110 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 137 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 138 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 139 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 143 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 22 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 220 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 23 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 2465 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 25 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 2995 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 443 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 445 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 51465 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 51995 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 53128 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 587 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 631 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 63215 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 80 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 993 -j ACCEPT
-A FORWARD -i enp3s1 -p udp -m udp --dport 995 -j ACCEPT
-A FORWARD -i enp3s1 -j LOG --log-prefix "iptables: wrong IP/MAC:"
-A FORWARD -i enp3s1 -j DROP
-A FORWARD -d 177.17.0.117/29 -i enp2s0 -j ACCEPT
-A FORWARD -m physdev --physdev-is-bridged -j ACCEPT
-A FORWARD -i enp2s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp2s0 -j DROP
-A OUTPUT -f -j DROP
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


[rits]

Для 127.20.11.2/24 брандмауэр выключен
Для 177.17.0.117/29 брандмауэр включен (eth2 в моем случае)

Настройки сгенерированные альтератором. Из вне доступен только порт openvpn
# cat /etc/net/ifaces/default/fw/iptables/filter/*

FORWARD

Код: [Выделить]

-P ACCEPT
-f -j DROP
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-i eth2 -d 177.17.0.117/29 -j ACCEPT
-m physdev --physdev-is-bridged -j ACCEPT
-i eth2 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-i eth2 -j DROP
INPUT

Код: [Выделить]

-P ACCEPT
-f -j DROP
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-i eth2 -p udp --dport 1194 -j ACCEPT
-i eth2 -p tcp --dport 1194 -j ACCEPT
-i eth2 -p icmp -j ACCEPT
-i eth2 -j DROP

OUTPUT

Код: [Выделить]

-P ACCEPT
-f -j DROP
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
у меня так

# cat /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING

Код: [Выделить]

-o eth2 -j MASQUERADE

[Уменялапки]

Удалил правила брандмауера через альтератор. Оставил только http/https. Теперь конфиг iptables аналогичен вашему.
Забыл упомянуть что на сервере есть portsentry, snort, fail2ban и rkhunter. Однако эти сервисы остановлены.

# cat /etc/net/ifaces/default/fw/iptables/filter/FORWARD

Код: [Выделить]

-P ACCEPT
-f -j DROP
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "fcount"
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-p tcp --destination 127.20.11.3 --dport 80 -j ACCEPT
-i enp2s0 -d 177.17.0.115/29 -j ACCEPT
-m physdev --physdev-is-bridged -j ACCEPT
-i enp2s0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-i enp2s0 -j DROP
# cat /etc/net/ifaces/default/fw/iptables/filter/INPUT

Код: [Выделить]

-P ACCEPT
-f -j DROP
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "icount"
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-i enp2s0 -p tcp --dport 80 -j ACCEPT
-i enp2s0 -p udp --dport 80 -j ACCEPT
-i enp2s0 -p tcp --dport 443 -j ACCEPT
-i enp2s0 -p udp --dport 443 -j ACCEPT
-i enp2s0 -j DROP
# cat /etc/net/ifaces/default/fw/iptables/filter/OUTPUT

Код: [Выделить]

-P ACCEPT
-f -j DROP
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "ocount"
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# cat /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING

Код: [Выделить]

-o enp2s0 -j MASQUERADE
Не понятно что за айпи в строке -i enp2s0 -d 177.17.0.115/29 -j ACCEPT.
И с таким конфигом проблема остаётся.

[rits]

без параметров (но лучше у автора спросить как работает задумка https://3proxy.ru/howtor.asp#SMTP )

Код: [Выделить]

pop3p
smtpp


Без указания порта, pop3p и smtpp включаются на 25 и 110 портах. Мейл-ру нужны ssl-порты 465 и 995

Код: [Выделить]

tcppm -i127.20.11.2 2995 pop.mail.ru 995
tcppm -i127.20.11.2 2465 smtp.mail.ru 465портмапинг пересылает с клиента и с порта 2995 на майл.ру на нужный порт 995 и получив обратно ответ на порт 995 отправляет почтовому клиенту опять же на 2995

это зачем?

Код: [Выделить]

pop3p -p995 -i177.17.0.117
smtpp -p465 -i177.17.0.117непонятно?

[YYY]

Что-то я совсем запутался
Если в локалку смотрит  127.20.11.2
То нафига вообще 177.17.0.117 настраивать как -i
?
У вас и снаружи кто-то коннектится?

В формат логов добавьте порт %c


logformat "L%C:%c %I %O - %U [%d/%o/%Y:%H:%M:%S %z] ""%T"" %E %N/%R:%r"

[YYY]

Вы на время вообще фаервол можете отключить и проверить как без него?
Правила какие-то вообще странные понаставленны для вашей задачи...

А не... нашел "-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT".. вроде норм... значит конфиг ковырять

[YYY]

без параметров (но лучше у автора спросить как работает задумка https://3proxy.ru/howtor.asp#SMTP )

Код: [Выделить]

pop3p
smtpp


ИМХО, вообще не нужно и при комментировании через 995 и 465 должно работать...

У меня работает. Для теста локально запустил.  фокс ходит через http/https, громоптица работает с почтой через pop3/smtp

/etc/3proxy.conf

Код: [Выделить]

daemon

## Локальный сетевой адрес
internal 127.0.0.1
## Внешний сетевой адрес
external  10.0.2.15
nscache 65536

## формат журналирования
logformat "L%C:%c %I %O - %U [%d/%o/%Y:%H:%M:%S %z] ""%T"" %E %N/%R:%r"
log /usr/local/3proxy/logs/3proxy_u.log D

## Следить за изменениями в файлах и применять их без перезапуска прокси сервера
monitor "/etc/3proxy.conf"

## чтобы в папке с логами сохранялись лишь последние 30 файлов
rotate 30
counter "/usr/local/3proxy/3proxy.3cf" D "/usr/local/3proxy/traf/traf"
countin 101/day D 1000000 *

## Веб
flush
auth none
proxy -p53128 -n -a -t
socks -p1080 -n

## Почта
flush
auth none
tcppm -i127.0.0.1 2995 pop.mail.ru 995
tcppm -i127.0.0.1 2465 smtp.mail.ru 465



netstat -l
показывает, что порты 53128 2995 2465 socks слушаются

в логах при получении почты с маил.ру
127.0.0.1:36991 6460 1834 - - [01/Feb/2020:22:15:[<0;42;10M05 +0300] "" 00000 TCPPM/94.100.180.74:995

Альт 7, 3proxy из репы (0.6.1)