не работает проброс POP3

[romario]

Ситуация:
есть сервер в котором еть 3 сетевые карты, 2-наружу 1- внутрь.
настроил маскарадинг наружу по обоим подключениям

POSTROUTING

-o eth1 -j MASQUERADE
-o eth2 -j MASQUERADE

затем в PREROUTING

-d {внешний IP eth1} -p tcp --dport 110 -j DNAT --to-destination 192.168.10.2:110
-d {внешний IP eth2} -p tcp --dport 110 -j DNAT --to-destination 192.168.10.2:110


и не работает.

это нужно чтобы почта приходила на внутренний почтовый сервер. tcpdumом смотрю eth1 там постоянно долбится почта
смотрю eth0(внутренний интерфейс) там движений нет по почте.

Инет работает нормально, почто наружу уходит.

с интерфейса на интерфейс пакеты ходят нормально, пробывал таким способом прокинуть 80 порт все было замечательно,
ну вот 110 чето не работает. В чем может быть дело уже вообще не догоняю.

подскажите а то у меня голова уже дымится.

дистрибутив ALT ARK Desktop 5.0

все настраиваю через etcnet.

[romario]

блин ну что идей вообще нет, народ помогите.

[Andrey]

блин ну что идей вообще нет, народ помогите.

Показывайте

Код: [Выделить]

#iptables -nvL

Код: [Выделить]

#iptables -nvL -t nat

Код: [Выделить]

# ip add l eth0

[romario]

Код: [Выделить]

iptables -nvL
Chain INPUT (policy ACCEPT 194 packets, 30802 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 68 packets, 8172 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 197 packets, 21513 bytes)
 pkts bytes target     prot opt in     out     source               destination         



Код: [Выделить]

iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 1665 packets, 127K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            217.23.64.226       tcp dpt:110 to:192.168.10.2:110

Chain POSTROUTING (policy ACCEPT 603 packets, 42231 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   52  3538 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           
    3   204 MASQUERADE  all  --  *      eth2    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 1085 packets, 76755 bytes)
 pkts bytes target     prot opt in     out     source               destination         



Код: [Выделить]

ip add l eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether d4:85:64:38:4e:ba brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.1/24 brd 192.168.10.255 scope global eth0



[Andrey]

Странно, на вскидку все нормально, даже из вне можно увидеть что порт открыт на фигурирующем ип. А tcpdump на этом же ип показывает, что долбятся на 110 порт?

[romario]

  вот тоже думаю что все впорядке, сейчас прописал вот так:

-i eth1 -p tcp --dport 110 -j DNAT --to-destinatio 192.168.10.10:110

теперь изнутри по телнету виже свой почтовик, а есть прописываюю также второй интерфейс то таблицы ругаются.

Хотя теперь я свой почтовик по 110 порту через телнет вижу ну почта на него всеравно не идет..

в чем дело может быть?

[Andrey]

  вот тоже думаю что все впорядке, сейчас прописал вот так:

-i eth1 -p tcp --dport 110 -j DNAT --to-destinatio 192.168.10.10:110

теперь изнутри по телнету виже свой почтовик, а есть прописываюю также второй интерфейс то таблицы ругаются.

Хотя теперь я свой почтовик по 110 порту через телнет вижу ну почта на него всеравно не идет..

в чем дело может быть?

Так,стоп, Вы из вне обращяетесь почтовой программой типа Outlook Express и забираете со своего внутреннего почтового сервера(postfix или что то еще) почту? покажите хотябы часть tcpdumpа на внешнем интерфейсе. И как "ругаются таблицы"?

[romario]

сейчас tcpdump прослушал 110 как внешний так и внутренний там отображаются только мои похождения через телнет, это что значит что почтовик по другому почту получает?

почтовик керио.

нет почтовик находися внутри сети и почту все забирают внутри сети. я проверял из внешней сети как сервак получает почту, по телнету конектился на пробрасываемый порт и телнет мне отвечал HELLO. так что 110 порт прокинут. но вот почта только по нему не идет.

PS у меня таблицы ругались из-за того что я не правильно написал команду, теперь не ругается.

[romario]

tcpdump -i eth1

Код: [Выделить]

34888663(16) ack 410392463 win 16971
18:52:15.962786 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 16 win 1002
18:52:16.063640 IP mail.sargazav.ru.5353 > 224.0.0.251.5353: 0 PTR (QM)? 244.146.147.88.in-addr.arpa. (45)
18:52:16.507805 IP 79-140-73-72.magistraly.ru.19424 > mail.sargazav.ru.13368: UDP, length 30
18:52:16.507843 IP mail.sargazav.ru > 79-140-73-72.magistraly.ru: ICMP mail.sargazav.ru udp port 13368 unreachable, length 66
18:52:16.963580 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 16:32(16) ack 1 win 16971
18:52:16.963927 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 32 win 1002
18:52:17.064888 IP mail.sargazav.ru.5353 > 224.0.0.251.5353: 0 PTR (QM)? 244.146.147.88.in-addr.arpa. (45)
18:52:17.965158 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 32:48(16) ack 1 win 16971
18:52:17.965491 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 48 win 1002
18:52:18.248937 IP mail.sargazav.ru.4028 > LB150.AMST.COTENDO.NET.http: S 2579262395:2579262395(0) win 65535 <mss 1460,nop,nop,sackOK>
18:52:18.248964 IP mail.sargazav.ru.4029 > LB150.AMST.COTENDO.NET.http: S 1137795567:1137795567(0) win 65535 <mss 1460,nop,nop,sackOK>
18:52:18.311694 IP LB150.AMST.COTENDO.NET.http > mail.sargazav.ru.4029: S 2883203873:2883203873(0) ack 1137795568 win 5840 <mss 1460>
18:52:18.312064 IP mail.sargazav.ru.4029 > LB150.AMST.COTENDO.NET.http: . ack 1 win 65535
18:52:18.312984 IP LB150.AMST.COTENDO.NET.http > mail.sargazav.ru.4028: S 3287043073:3287043073(0) ack 2579262396 win 5840 <mss 1460>
18:52:18.313342 IP mail.sargazav.ru.4029 > LB150.AMST.COTENDO.NET.http: P 1:309(308) ack 1 win 65535
18:52:18.313430 IP mail.sargazav.ru.4028 > LB150.AMST.COTENDO.NET.http: . ack 1 win 65535
18:52:18.314761 IP mail.sargazav.ru.3902 > bos-m067a-sdr3.blue.aol.com.5190: P 2819584126:2819584132(6) ack 2925948104 win 65535
18:52:18.325095 IP mail.sargazav.ru.4028 > LB150.AMST.COTENDO.NET.http: P 1:310(309) ack 1 win 65535
18:52:18.376671 IP LB150.AMST.COTENDO.NET.http > mail.sargazav.ru.4029: . ack 309 win 6432
18:52:18.376810 IP LB150.AMST.COTENDO.NET.http > mail.sargazav.ru.4029: P 1:332(331) ack 309 win 6432
18:52:18.377716 IP mail.sargazav.ru.4029 > LB150.AMST.COTENDO.NET.http: F 309:309(0) ack 332 win 65204
18:52:18.389317 IP LB150.AMST.COTENDO.NET.http > mail.sargazav.ru.4028: . ack 310 win 6432
18:52:18.389564 IP LB150.AMST.COTENDO.NET.http > mail.sargazav.ru.4028: P 1:327(326) ack 310 win 6432
18:52:18.389574 IP LB150.AMST.COTENDO.NET.http > mail.sargazav.ru.4028: F 327:327(0) ack 310 win 6432
18:52:18.389896 IP mail.sargazav.ru.4028 > LB150.AMST.COTENDO.NET.http: . ack 328 win 65209
18:52:18.390292 IP mail.sargazav.ru.4028 > LB150.AMST.COTENDO.NET.http: F 310:310(0) ack 328 win 65209
18:52:18.440740 IP LB150.AMST.COTENDO.NET.http > mail.sargazav.ru.4029: F 332:332(0) ack 310 win 6432
18:52:18.441093 IP mail.sargazav.ru.4029 > LB150.AMST.COTENDO.NET.http: . ack 333 win 65204
18:52:18.454365 IP LB150.AMST.COTENDO.NET.http > mail.sargazav.ru.4028: . ack 311 win 6432
18:52:18.536297 IP bos-m067a-sdr3.blue.aol.com.5190 > mail.sargazav.ru.3902: . ack 6 win 16384
18:52:18.964195 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 48:64(16) ack 1 win 16971
18:52:18.964505 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 64 win 1002
18:52:19.067129 IP mail.sargazav.ru.5353 > 224.0.0.251.5353: 0 PTR (QM)? 244.146.147.88.in-addr.arpa. (45)
18:52:19.231908 IP mail.sargazav.ru.13368 > 91.202.26.29.8000: UDP, length 30
18:52:19.261725 IP 95.215.0.140.http > mail.sargazav.ru.4013: F 3901800210:3901800210(0) ack 3307757029 win 65535
18:52:19.262150 IP mail.sargazav.ru.4013 > 95.215.0.140.http: . ack 1 win 64260
18:52:19.262236 IP mail.sargazav.ru.4013 > 95.215.0.140.http: F 1:1(0) ack 1 win 64260
18:52:19.353376 IP 95.215.0.140.http > mail.sargazav.ru.4013: . ack 2 win 65534
18:52:19.963677 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 64:80(16) ack 1 win 16971
18:52:19.963989 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 80 win 1002
18:52:20.967248 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 80:96(16) ack 1 win 16971
18:52:20.967592 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 96 win 1002
18:52:21.050656 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: P 1:62(61) ack 96 win 1002
18:52:21.066711 IP mail.sargazav.ru.5353 > 224.0.0.251.5353: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
18:52:21.159625 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 96:113(17) ack 62 win 16910
18:52:21.159964 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 113 win 1002
18:52:21.162361 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: P 62:123(61) ack 113 win 1002
18:52:21.216169 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 113:314(201) ack 62 win 16910
18:52:21.255117 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 314 win 1002
18:52:21.402235 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 1412:1442(30) ack 123 win 16849
18:52:21.402559 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 314 win 1002 <nop,nop,sack 1 {1412:1442}>
18:52:21.746075
18:52:21.901990 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 314:1442(1128) ack 123 win 16849
18:52:21.902368 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 1442 win 1002 <nop,nop,sack 1 {1412:1442}>
18:52:21.965421 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 1442:1472(30) ack 123 win 16849
18:52:21.965778 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 1472 win 1002
18:52:22.067957 IP mail.sargazav.ru.5353 > 224.0.0.251.5353: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
18:52:22.222811 IP mail.sargazav.ru.13368 > 91.202.26.29.8000: UDP, length 30
18:52:22.433140 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 1472:1494(22) ack 123 win 16849
18:52:22.433470 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 1494 win 1002
18:52:22.964321 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 1494:1511(17) ack 123 win 16849
18:52:22.964630 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 1511 win 1002
18:52:23.761056 IP 77.79.183.246.dynamic.ufanet.ru.55559 > mail.sargazav.ru.13368: UDP, length 67
18:52:23.761092 IP mail.sargazav.ru > 77.79.183.246.dynamic.ufanet.ru: ICMP mail.sargazav.ru udp port 13368 unreachable, length 103
18:52:23.964362 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 1511:1527(16) ack 123 win 16849
18:52:23.964681 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 1527 win 1002
18:52:24.006477 IP net88.194.109-243.dynamic.omsk.ertelecom.ru.38512 > mail.sargazav.ru.13368: UDP, length 30
18:52:24.006500 IP mail.sargazav.ru > net88.194.109-243.dynamic.omsk.ertelecom.ru: ICMP mail.sargazav.ru udp port 13368 unreachable, length 66
18:52:24.007057 IP net88.194.109-243.dynamic.omsk.ertelecom.ru.57410 > mail.sargazav.ru.13368: S 3562880632:3562880632(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
18:52:24.007075 IP mail.sargazav.ru.13368 > net88.194.109-243.dynamic.omsk.ertelecom.ru.57410: R 0:0(0) ack 3562880633 win 0
18:52:24.069244 IP mail.sargazav.ru.5353 > 224.0.0.251.5353: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42)
18:52:24.327727 IP 94.77.152.202.50607 > mail.sargazav.ru.13368: S 912175760:912175760(0) win 65535 <mss 1352,nop,nop,sackOK>
18:52:24.327753 IP mail.sargazav.ru.13368 > 94.77.152.202.50607: R 0:0(0) ack 912175761 win 0
18:52:24.598574 IP net88.194.109-243.dynamic.omsk.ertelecom.ru.57410 > mail.sargazav.ru.13368: S 3562880632:3562880632(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
18:52:24.598590 IP mail.sargazav.ru.13368 > net88.194.109-243.dynamic.omsk.ertelecom.ru.57410: R 0:0(0) ack 1 win 0
18:52:24.641478 IP ELS-gw.transtelecom.net.4324 > mail.sargazav.ru.13368: S 151531871:151531871(0) win 16384 <mss 1360,nop,nop,sackOK>
18:52:24.641496 IP mail.sargazav.ru.13368 > ELS-gw.transtelecom.net.4324: R 0:0(0) ack 151531872 win 0
18:52:24.895527 IP 94.77.152.202.50607 > mail.sargazav.ru.13368: S 912175760:912175760(0) win 65535 <mss 1352,nop,nop,sackOK>
18:52:24.895540 IP mail.sargazav.ru.13368 > 94.77.152.202.50607: R 0:0(0) ack 1 win 0
18:52:24.964355 IP 88.147.146.244.3389 > mail.sargazav.ru.49093: P 1527:1543(16) ack 123 win 16849
18:52:24.964686 IP mail.sargazav.ru.49093 > 88.147.146.244.3389: . ack 1543 win 1002
18:52:25.151417 IP ELS-gw.transtelecom.net.4324 > mail.sargazav.ru.13368: S 151531871:151531871(0) win 16384 <mss 1360,nop,nop,sackOK>
18:52:25.151436 IP mail.sargazav.ru.13368 > ELS-gw.transtelecom.net.4324: R 0:0(0) ack 1 win 0
18:52:25.199159 IP net88.194.109-243.dynamic.omsk.ertelecom.ru.57410 > mail.sargazav.ru.13368: S 3562880632:3562880632(0) win 8192 <mss 1260,nop,nop,sackOK>
18:52:25.199173 IP mail.sargazav.ru.13368 > net88.194.109-243.dynamic.omsk.ertelecom.ru.57410: R 0:0(0) ack 1 win 0
18:52:25.499854 IP 94.77.152.202.50607 > mail.sargazav.ru.13368: S 912175760:912175760(0) win 65535 <mss 1352,nop,nop,sackOK>
18:52:25.499866 IP mail.sargazav.ru.13368 > 94.77.152.202.50607: R 0:0(0) ack 1 win 0
18:52:25.713780 IP ELS-gw.transtelecom.net.4324 > mail.sargazav.ru.13368: S 151531871:151531871(0) win 16384 <mss 1360,nop,nop,sackOK>
18:52:25.713794 IP mail.sargazav.ru.13368 > ELS-gw.transtelecom.net.4324: R 0:0(0) ack 1 win 0
18:52:25.727635 IP host-static-89-41-66-231.moldtelecom.md.11908 > mail.sargazav.ru.13368: UDP, length 67
18:52:25.727661 IP mail.sargazav.ru > host-static-89-41-66-231.moldtelecom.md: ICMP mail.sargazav.ru udp port 13368 unreachable, length 103
^C18:52:25.773651 IP 62.118.136.131.62689 > mail.sargazav.ru.13368: S 3255743973:3255743973(0) win 8192 <mss 1380,nop,wscale 8,nop,nop,sackOK>


tcpdump -i eth1 port 110
и тишина

Код: [Выделить]

tcpdump -i eth1 port 110
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes


тоже самое tcpdump -i eth0 port 110

[Andrey]

Блин если я прально понял, то вам нужно прокидывать не 110 порт из вне во внутрь а 25, т.к.
http://ru.wikipedia.org/wiki/Mail_Transfer_Agent

[romario]

да да да.... именно 25 оказыца нужно прокидывать, 2 дня до 9 вечера работать не хорошо, прокинул 25 порт все заработало, но всетаки проблемы с пробросом порты были, хотяи решились изменим ip адрес назначения и изменение команды iptables(выше).

Всем спасибо за внимание:)

[romario]

народ появилась новая проблема iptables настроил политика по умолчанию DROP открыл нужные порты клиенты в нет ходят почту получают почта из вне приходит но сам сервак не может ни пингануть на выйти в инет, что нужно прописать чтобы сервак мог в инет ходить?

и еще открыл порты 20 и 21 для vsftp но чето он не конектица, когда политику меняю в ACCEPT все работает.

[ruslandh]

vsftpd может для своей работы использовать и другие порты.

[romario]

какие и где это указать?

и почему на сервере не виден инет?

[ruslandh]

какие и где это указать?

и почему на сервере не виден инет?

1. man vsftpd.conf
2. не в курсе.