alt linux 5.0 ковчег чтение почты с mail.ru (Решено)

[Александр]

На работе я смогу появиться только в понедельник, тогда напишу точно как у меня прописано.
Но я уже пробовал запускать простой скрипт после загрузки всей системы, когда уже было установлено соединение ppp1.
Скрипт
iptables -F
iptables -t nat -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o ppp+ -j SNAT --to-source 62.148.129.237
По идеи в этом скрипте я специально разрешил все, чтоб недумалось что чтото забыл открыть.
На Master 2.4 этот простой скрипт работает четко и почта FORWARD-ится.
а на Школьном сервере 4.1, 5.0 и Ковчеге нехочет работать.
Может конечно в них iptables даже временно не хочет работать через скрипты
а только через Etchnet, но я тоже самое и в этом стиле прописывал.
Ну ладно, в понедельник глянем.

[yaleks]

Не хватает правила - http://www.gentoo.ru/node/8496

Код: [Выделить]

iptables -A FORWARD -m tcpmss --mss 1200:1536 -j TCPMSS --clamp-mss-to-pmtu

[A.Serg]

Да у меня тоже самое не хочет почту получать .... как мне кажется что MTU тут не причём ...

Стоял у меня сервер на OpenSuse 10.2 было тоже самое всё работает кроме почты. Написал файлик:

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward

INTIF="192.168.0.0/24"  # ЛОКАЛКА
EXTIF="X.X.X.X"           # ИНТЕРНЕТ
IPTABLES="iptables"

$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -X


$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -p tcp --dport pop3s -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -p udp --dport pop3s -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -j SNAT -p tcp --to-source $EXTIF:30000-35000
$IPTABLES -t nat -A POSTROUTING -j SNAT -p udp --to-source $EXTIF:30000-35000

и всё заработало...

Раньше был инет по выделенному IP, а теперь через VPN и заставить работать его через VPN никак не могу....


Правило:

iptables -A FORWARD -m tcpmss --mss 1200:1536 -j TCPMSS --clamp-mss-to-pmtu

выдаёт....

iptables: No chain/target/match by that name

[Александр]

Пробовал это правило -m tcpmss --mss 1200:1536 -j TCPMSS --clamp-mss-to-pmtu
Тоже дает ошибку но я нашел все предудущие примеры и нашел похожее и оно не ругается на синтаксис
-p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1200:1536 -j TCPMSS -clamp-mss-to-pmtu -o ppp1
У  меня сегодня это правило сработало случайно на Школьном сервере 4.1.0 и то после того как я  на win XP принудительно отключил и включил (программно) сетевое подключение. И тогда моя почта (mail,yandex,kaluga) заработала.
Потом я проверил после перезагрузки Школьного сервера, вроде все заработало, теперь я думаю, заремирую эту строчку,
чтобы убедиться в ее работоспособности, но заглянув в /filter/FORWARD  я обнаружил, что там ее нет (она стерлась, по видимому на правила из WEB интерфейса), но почта продолжала работать,как мне непонятно?
Установил Ковчег, проделал тоже самое но ничего непомогло.
Из безысходности я решил  поменять сетевые карточки(3COM905B на RLT8029AS и заново установил Школьный сервер 4.1.0.
К моему удивлению как только после установки я настроил PPPoE и iptables (шлюз на ppp1) все сразу заработало (почта yandex, mail, kaluga) без всяких дополнительных (-p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1200:1536 -j TCPMSS -clamp-mss-to-pmtu -o ppp1
) ,как на Alt linux Master 2.4
После этого я сделал вывод, что все дело было в драйверах (3COM905B), почемуто эти хорошие карточки не захотели правильно работать на Школьном сервере (хотя до сбоя у провайдера я на них отработал 5 месяцев, кроме работоспособности ящика mail.ru).

[Александр]

И почему на Ковчеге почта не хочет идти ни с 3COM905B ни с RLT8029AS.
В логах message я нашел ошибку на группу для venet0. но я незнаю на сколько эта ошибка может повлиять на мою проблему.

[Александр]

Теперь еще интересней.
Сейчас у меня все работает на Master 2.4  ,я пробую на другой машине Ковчег с двумя сетевухами через ADSL модем почта с клиентской машины не ходит через него. Пробую следующий вариант. Удаляю ppp1 соединение, настраиваю Breth0 = 192.168.5.3 (якобы локалка) подключаю его к клиентской машине (192.168.5.54), breth1 = 192.168.1.7 (якобы внешний интерфейс) и подключаю его к моей сети которая сейчас работает на Master 2.4 , на Ковчеге в iptables в таблице nat прописываю -o breth1 -j MASQUERADE.
И с клиентской машины подключенной к Ковчегу почта (mail, yandex) начинает ходить.
А почему Ковчег нехочет напрямую с ADSL модемом работать непонятно.

[Александр]

Кстативвккв, не только почта не ходит через Ковчег, но и инет не хочет проходить без squid-а, получается что кроме icmp больше ничего не Forward-ится. С клиентской программы ping-и проходят на все сайты, а ни почта ни инет работать нехотят. Я так понял, что при полном открытом Forward-е и настроинном NAT на ppp1, сервер должен заработать как шлюз.
Или чтото с pppoe, потомучто без него (когда отключал сетевую карту подключенную к модему Adsl и подключал к работающей сети на Alt Master 2.4 ) то все начинало работать.
Вобщем уже незнаю че делать.

[Александр]

Всем большое спасибо!
Так как я не использую KVM, то мне подсказали убрать интерфейсы breth0 и breth1, и настроить обычные eth0 и eth1,
и сразу все заработало как надо.
Моя почта (yandex mail kaluga) сразу стала ходить (Forward) через мой Ковчег 5.0.
Тоесть мой сервак заработал как шлюз. Буду дальше пробовать настраивать Postfix-Dovecot,Spamassassin,Clamav,Squid,Sarg.

Еще раз всем спасибо.

[Александр]

Да, убрать brethX и настроить ethX мне посоветовал "Mню",
Еще раз огроное спасибо "Mню" и всем кто откликался.

[Skull]

Да, убрать brethX и настроить ethX мне посоветовал "Mню",
Еще раз огроное спасибо "Mню" и всем кто откликался.

Скорее всего, отключили брандмауэр. Молодец, ждите хакеров и проблем при ручной настройке.

[Александр]

Да нет, iptables ведет себя как раз адекватно.
Что запрещаешь - то запрещается, а что открываешь - то разрешается.
А когда были brethX, то у меня в фильтре в FORWARD было все открыто -P ACCEPT,-i ppp1 -J ACCEPT;
но почемуто пинги проходили с клиентской машины а почта и инет непроходили.
и я никак не мог заставить их ходить.
и никто не мог помочь.

[Александр]

еще.(про ручную настройку)
Чтобы начали хотябы пинги проходить, мне так и так приходилось руками лезть до FORWARD и прописывать -i ppp1 -p icmp -J ACCEPT .
А с ВЕБ интервейса я так понял до форварда недолезть.

[Александр]

Ребята, кто тестирует Ковчег 5.0, попробуйте такую ситуацию:
Сервер с двумя сетевухами (одна в локалку, другая к ADSL модему (от провайдера постоянный IP, но я думаю что не в нем проблема)), Клиентам (WinXP) из локалки необходимо поучать почту программой Outlook свою (Postfix на этом сервере) и внешнюю (mail, yandex ...). У меня, пока не поменял BrethX на ethX, ничего не получалось.
Если у Вас получится, прошсьба написать мне.
Может я один такой, у кого это не получается.
Всетаки неверится, что выпущенный B-етта!!!(не A-фа) Ковчег не может реализовать такой элементарной вещи.
Заранее спасибо, всем кто ответит.

[Skull]

Если у Вас получится, прошсьба написать мне.
Может я один такой, у кого это не получается.

Вы один. Проверяйте настройки брандмауэра.

Всетаки неверится, что выпущенный B-етта!!!(не A-фа) Ковчег не может реализовать такой элементарной вещи.

Вообще-то Ковчег выпущен официально.

[Александр]

У меня в filtr
FORWARD
-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "fcount"
-m physdev --physdev-is-bridged -j ACCEPT
-i ppp1 -m state --state ESTABLISHED,RELATED -j ACCEPT
-i ppp1 -j DROP

INPUT
-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "icount"
-i ppp1 -p icmp -j ACCEPT
-i ppp1 -j DROP

OUTPUT

-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "ocount"

в nat
POSTROUTIGN
-o ppp1 -j MASQUERADE

Чего нехватает в FORWARD для того чтобы сервер заработал как шлюз (проходила почта и инет без Squid-а)
на ethX при такихже настройках все четко работает,  на brethX как шлюз неработает.