почтовый сервер и iptables

[ffrr]

настраивается почтовый сервер Postfix+Dovecot+Roundcube c 2-мя интерфейсами-1 смотрит в локалку 192.168.1.0 а второй с внешним реальным айпишником от ISP; как нужно настроить iptables в таком случае-достаточно просто включить ipv4 forwarding в ядре или надо посложнее настраивать iptables?

[endru]

а причем здесь iptables и перенаправление пакетов?

на каком интерфейсе настроишь Postfix+Dovecot+Roundcube на таком и будет работать.

программам, по умолчанию всегда будут доступны все доступные интерфейсы!

[ffrr]

другими словами для юзеров из локалки, чтобы они юзали нормально и Roundcube через браузер и подключались Thunderbird_ом к серверу напрямую достаточно чтобы этот сервер был им доступен на физическом уровне, а на самом сервере никаких дополнений касательно iptables не нужно?

[endru]

если iptables не блокирует порты на внешнем и внутреннем IP адресах, то дополнительно ничего настраивать в iptables не нужно!

[ffrr]

ну вообще, если нужны только открыты порты для почты а всё остальное закрыто, то:

Код Выделить Развернуть


#!/bin/bash

#Очистка всех цепочек
iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -X
iptables -X -t nat
iptables -X -t mangle

#Политика по умолчанию - запретить все, что не разрешено
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Разрешаем обращение к lo интерфейсу
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT

#Пропускать уже инициированные, а также их дочерние
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

#Пропускать новые, инициированные, а также их дочерние
iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#Разрешаем обращение к почтовым портам
iptables -A INPUT -p tcp -m multiport --dports 25,110,143,443,465,587,993,995,11211 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sports 25,110,143,443,465,587,993,995,11211 -j ACCEPT

Для запуска скрипта с настройками iptables при старте системы помещаем его в /etc/network/if-up.d/

Даем права на выполнение:
# chmod +x /etc/network/if-up.d/iptables



или есть более изящное решение?

[yura_n]

Учитывая что используется state (и состояние NEW в нем), следующее правило будет лишним:

Код Выделить Развернуть


iptables -A OUTPUT -p tcp -m multiport --sports 25,110,143,443,465,587,993,995,11211 -j ACCEPT


Зачем давать права на исполнение iptables? Обычно оно и так есть.

P.S.
Можно вовсе убрать строку (в ней особого смысла нет, в вашем случае):

Код Выделить Развернуть


iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

И тогда использовать правило как у вас:

Код Выделить Развернуть


iptables -A OUTPUT -p tcp -m multiport --sports 25,110,143,443,465,587,993,995,11211 -j ACCEPT


[ffrr]

спасибо, поправил...