From: Selim Ozkan (sozkan@bsdint.com)
Date: Sat 30 Oct 2004 - 14:37:27 EEST
Merhaba,
2 gündür yanıt veren tüm arkadaşlara vakit ayırıp sorunumla ilgilendikleri
için binlerce kez teşekkür ederim.
Sorunum çözüldü.Çözümü de başka arkadaşlara yardımcı olur amacı ile tekrar
aşağıya yazıyorum.
Öncelikle modemimden gelen tüm 25 ve 110 nolu port istemlerini linux
makinenin net ayağına yönlendir dedim.
Sonra linuc makine de iptables ile yönlendirmeyi aşağıdaki şekilde yaptım.
Böylelikle hem sendmail sunucum hemde içerideki dier firmaların dışarıdaki
domainleri ile yaptıkları mail haberleşmesi sorunsuz bir şekilde çalıştı.
Bundan sonra benim yapacağım üzere diğer arkadaşlara da tavsiyem bu tür
durumlarda (ki ben bir arkadaşımın uyarısı ile bunun farkına vardım) hemen
log tutturmak ve hangi paket nerden nereye gidiyor onu iyice bir takip
etmek. Benim kendi kendime sorunumu çözemememin asıl nedeni dışarıdan mail
domain kullanan kullanıcıların maillerinin hata yapacağını düşünmemdi. Ama
zaten masquerading dışarı çıkan paketin dönüşte nereye gideceğini bildiği
için orada sorun kalmıyormuş ben o kafam ambole olduğu arada bunu unuttum ve
düşünemedim. Trace edince log dan herşey anlaşıldı. Herneyse çözümü ben
aşağıda yazdığım satırlar ile buldum.
iptables -t nat -A PREROUTING -s! 192.168.1.0/24 -p tcp -m tcp --dport 25 -j
DNAT --to-destination 192.168.1.5:25
iptables -t nat -A PREROUTING -s! 192.168.1.0/24 -p tcp -m tcp --dport 110
-j DNAT --to-destination 192.168.1.5:110
Ve bana göre bundan daha doğrusu ise Umut (php@kakalak.org) arkadaşımın
gönderdiği çözümdür. Ama ben henüz bu çözümü deneyemedim belki denemek
isteyen olur diye ve daha doğru çözümün bu olduğuna inandığım için onu da
yazıyorum.
iptables -t nat -A PREROUTING -p tcp -m tcp -dport 25 -j DNAT
--to-destination 192.168.1.5:25 --in-interface eth0
iptables -t nat -A PREROUTING -p tcp -m tcp -dport 110 -j DNAT
--to-destination 192.168.1.5:110 --in-interface eth0
Bu arada eth0 benim modemimin lan interface'sine bağlı olan ethernet ayağım.
Yani dışarıdan gelen anlamında.
Dediğim gibi sorunum ile ilgilenip yardımcı olan ve fikir üreten herkese
binlerce teşekkür ederim.
Kolay gelsin. Saygılar,
Selim Ozkan
Gen.Mud.
BOSS Bilgisayar, Yazilim
ve Internet Hizmetleri
sozkan@bsdint.com
sozkan@ozkanyazilim.com
05055099066
-----Original Message-----
From: linux-sunucu-bounces@liste.linux.org.tr
[mailto:linux-sunucu-bounces@liste.linux.org.tr] On Behalf Of mesut guler
Sent: Saturday, October 30, 2004 10:34 AM
To: linux-sunucu@liste.linux.org.tr
Subject: Re: [Linux-sunucu] IPTABLES Sorunu ! Çook Acil !
Selim Ozkan wrote:
> Merhaba,
>
> Sorunumu anlatabilmek için öncelikle buradaki yapıyı bir anlatacağım.
>
> KOSGEB binası içerisinde bir firmayım ve benim gibi yaklaşık 20 firma
> daha var ve aynı binada bir de KOSGEB'in müdürlüğü var. KOSG müd.lüğü
> benden basit firewall işlemlerini yapabilecek bir şey kurmamı istedi
> ben de slackware 10 kurdum iptables ile de istediklerini tanımlıyorum.
>
> Bina komple bir D-Link router modem üzerinden internete çıkıyor. IP
> static. Ben de Dlink modemi eth0 üzerinden slack box a bağladım modem
> 10.10.10.1 slack box 10.10.10.2 içeriye yönlendirme için de 2nci
> ethernetten (eth1) gidiyorum. ip si 192.168.1.1 kullanıcıların ip leri
> 192.168.1. subneti üzerinde ve default gatewayleri 192.168.1.1 olarak
> ayarlanmış durumda.
>
> Sorunum şimdi şu:
>
> İçeride 192.168.1.5 ip si üzerinde çalışan au.tekmer.gov.tr isimli bir
> mail server var sendmail çalışıyor. Bu serverin maillerinin doğru
> çalışması için iptables ile 25 ve 110 nolu portlara gelen istemleri
> PREROUTING aşamasında destination nat (DNAT) ile yönlendiriyorum ancak
> bu yönlendirmeyi yaptığım zaman bizlerin (yani firmaların)
> hiçbirisinin maili çalışmıyor. Yani dışarıdaki bir domain'de çalışan
> mailler. mesele bsdint.com daki ne gönderebiliyor ne alabiliyoruz.
> Yönlendirmeyi iptal ettiğim zaman da firmaların ki çalışıyor KOSGEB'in
> mail serveri çalışmıyor.
>
> NE yapacağımı şaşırdım. Eminim bunun bir yolu olmalı ve ben bir yerde
> hata yapıyorum.
>
> Yonlendirme için kullandığım rul'lar şöyle.
> iptables -t nat -A PREROUTING -p tcp -m tcp -dport 25 -j DNAT
> --to-destination 192.168.1.5:25 iptables -t nat -A PREROUTING -p tcp
> -m tcp -dport 110 -j DNAT --to-destination 192.168.1.5:110
>
> bunu bir şekilde au.tekmer için geliyorsa buraya değilse yönlendirme
> nereye gidecekse oraya gitsin demem lazım ama olmuyor.
> denemek için de rule'un en başına -d au.tekmer.gov.tr ya da -d
> 81.215.12.130 gibi destinationlar da tanımladım ama yemedi.
>
> lütfen acil bir çözüm önerebilir misiniz?
>
> Şimdiden teşekkürler Saygılar
>
> Selim Ozkan
> Gen.Mud.
> BOSS Bilgisayar, Yazilim
> ve Internet Hizmetleri
> sozkan@bsdint.com <mailto:sozkan@bsdint.com> sozkan@ozkanyazilim.com
> <mailto:sozkan@ozkanyazilim.com>
> 05055099066
>
>
>-----------------------------------------------------------------------
>-
>
>_______________________________________________
>Linux-sunucu mailing list
>Linux-sunucu@liste.linux.org.tr
>http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
>
merhaba,
anladigim kadariyla cift dikis nat uygulayacaksaniz. istemciler internete
cikacaktir ama once modem den port yonlendirme sonra da linuxdan port
yonlendirmede sorun cikacagi kanisindayim. en azindan ben o sorunu yasadim.
25,110 portlarini cift port forward yani once modem, sonra linux seklinde
iki kez port forward ile servera yonlendirdim.
bunlardan 110 calisti ancak 25 calismadi. bu ayari farkli ADSL
modem-routerlar ile 2 kez denedim. birinde zyxel modem, exchange digerinde
qmail, zoom adsl modem vardi mail server olarak. ikisinde de 110 calisti
ancak 25 calismadi. bence modemi bridge moduna alin, modem public ip yi
direk linuxa versin. o sekilde bir ayar deneyin. iptables kurallari icin
arkadaslarin onerilerini takip edebilirsiniz. yada www.iptables-script.dk
adresinden basit bit firewall scripti olusturabilirsin.
kolay gelsin.
-- Mesut Guler Egemen Yaz_______________________________________________ Linux-sunucu mailing list Linux-sunucu@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
_______________________________________________ Linux-sunucu mailing list Linux-sunucu@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-sunucu