[Iptables] Нужно открыть трафик исходящей почты с ip-адреса на yandex.ru

@Jexon30 · Регистрация: 15.12.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте.

Нужно разрешить трафик исходящей почты с ip-адреса 192.168.100.18 на yandex.ru. Пытался использовать несколько вариантов записи, но ничего нужного не выходит:

Bash

1
2
3

iptables -A OUTPUT -p --source 192.168.100.18 -p tcp -d yandex.ru -j ACCEPT
iptables -A OUTPUT -p tcp --souce 192.168.100.18 -d yandex.ru -j ACCEPT
iptables -A OUTPUT -s 192.168.100.18 -d yandex.ru -j ACCEPT

@Marinero · 21.12.2016, 18:53

Сообщение от Jexon30

Нужно разрешить трафик исходящей почты

где?

Сообщение от Jexon30

-A OUTPUT

это что?

@Jexon30 · 21.12.2016, 21:57 **[ТС]**

Сообщение от Marinero

где?

Это полное условие задачи. Видимо нужно разрешить весь трафик исходящей почты. Не понимаю, нужно ли и как указывать исходящую почту.

Сообщение от Marinero

это что?

Добавление правила в цепочку OUTPUT.
Цепочка OUTPUT - для исходящего трафика.

Dmitry · 25.12.2016, 16:38

это правило для цепи OUTPUT:

Сообщение от Jexon30

iptables -A OUTPUT -s 192.168.100.18 -d yandex.ru -j ACCEPT

а цепь OUTPUT - это пакеты, идущие от локалхоста наружу. а локалхост - это 127.0.0.х
таким образом, это правило - пук в лужу
если вы его пишите непосредственно на сам комп с адресом 192.168.100.18, то в правиле нужно менять айпишник, т.к. все локальные программы ломятся в интернет с локалхоста.
а если это правило пишется на комп, выступающий шлюзом для локальной сети, а 192.168.100.18 - это комп, живущий в этой самой локальной сети, то правило нужно писать в цепочку, которая обслуживает трафик из локальной сети в интернет - FORWARD

@gng · 26.12.2016, 13:17

Сообщение от Jexon30

iptables -A OUTPUT -s 192.168.100.18 -d yandex.ru -j ACCEPT

Если правило написано на хосте 192.168.100.18, то мысль правильная, но есть несколько нюансов.
1. вместо yandex.ru нужно подставить его адреса (получится несколько правил). Поскольку имя будет разрешаться только один раз одним адресом при загрузке правила. Адреса перечислены ниже.

Bash

$ host yandex.ru
yandex.ru has address 77.88.55.80
yandex.ru has address 77.88.55.50
yandex.ru has address 5.255.255.60
yandex.ru has address 5.255.255.50

2. Почта yandex.ru обслуживаетя в соответствии с MX записью хостами mx.yandex.ru. Их тоже несколько и они другие.
3. Правило имеет смысл, если исходящие пакеты на Яндекс идут с интерфеса 192.168.100.18, и фаревол перекрывает этот траффик.
4. Нужно позаботиться и о входящих пакетах.
Так что в целом правильно сказал Dmitry, это правило -

Сообщение от Dmitry

пук в лужу

То, что он написал о localhost, пропустите мимо глаз. Это, мягко говоря, абсолютно неверно.

@Marinero 2795 / 2038 / 682 Регистрация: 02.03.2015 Сообщений: 6,509
	21.12.2016, 18:53	2
	Сообщение от Jexon30 Нужно разрешить трафик исходящей почты где? Сообщение от Jexon30 -A OUTPUT это что? 0

@Jexon30 0 / 0 / 0 Регистрация: 15.12.2015 Сообщений: 7
	21.12.2016, 21:57 [ТС]	3
	Сообщение от Marinero где? Это полное условие задачи. Видимо нужно разрешить весь трафик исходящей почты. Не понимаю, нужно ли и как указывать исходящую почту. Сообщение от Marinero это что? Добавление правила в цепочку OUTPUT. Цепочка OUTPUT - для исходящего трафика. 0

Dmitry 13009 / 7401 / 800 Регистрация: 09.09.2009 Сообщений: 28,970
	25.12.2016, 16:38	4
	это правило для цепи OUTPUT: Сообщение от Jexon30 iptables -A OUTPUT -s 192.168.100.18 -d yandex.ru -j ACCEPT а цепь OUTPUT - это пакеты, идущие от локалхоста наружу. а локалхост - это 127.0.0.х таким образом, это правило - пук в лужу если вы его пишите непосредственно на сам комп с адресом 192.168.100.18, то в правиле нужно менять айпишник, т.к. все локальные программы ломятся в интернет с локалхоста. а если это правило пишется на комп, выступающий шлюзом для локальной сети, а 192.168.100.18 - это комп, живущий в этой самой локальной сети, то правило нужно писать в цепочку, которая обслуживает трафик из локальной сети в интернет - FORWARD 0

	26.12.2016, 13:17

Опции темы