Podría ser algo así por los datos que aportas si la ip del servidor de correo en la LAN es esta 192.168.10.5 por ejemplo
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to-destination 192.168.10.5:25 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 -j DNAT --to-destination 192.168.10.5:110 Espero que resuelvas y en mi opinion lo mejor es usar políticas DROP por defecto y no ACCEPT. Traduciendo tus reglas a políticas DROP sería mas o menos así: #!/bin/bash IPTAB="/sbin/iptables" echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -Z #iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP #Reglas localhost iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A FORWARD -i lo -o -eth1 -j ACCEPT # Reglas INPUT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #Aqui pones tus reglas de entrada de este server lo que quieras permitir desde la LAN o desde la WAN #Permitir control total desde la ip del administrador: iptables -A INPUT -i eth0 -s 192.168.10.7/32 -mmac --mac-source 54:e6:fc:85:05:b9 -m state --state NEW -j ACCEPT # Reglas NAT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to-destination 192.168.10.5:25 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 -j DNAT --to-destination 192.168.10.5:110 iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE #Reglas Forward iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Aceptamos que vayan a puertos 80 iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp --dport 80 -o eth1 -m state --state NEW -j ACCEPT # Aceptamos que vayan a puertos https iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp --dport 443 -o eth1 -m state --state NEW -j ACCEPT # Aceptamos que el servidor salga por el puerto 25 #Ip del servidor de Correo: 192.168.10.5/32 iptables -A FORWARD -s 192.168.10.5/32 -i eth0 -p tcp --dport 25 -o eth1 -m state --state NEW -j ACCEPT iptables -A FORWARD -s 192.168.10.5/32 -i eth0 -p tcp --dport 110 -o eth1 -m state --state NEW -j ACCEPT #Si haces forward de DNS y tu servidor de DNS esta en la lan con la IP: 192.168.10.6/32 #Forward DNS iptables -A FORWARD -i eth0 -s 192.168.10.6/32 -o eth1 -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A FORWARD -i eth0 -s 192.168.10.6/32 -o eth1 -p udp --dport 53 -m state --state NEW -j ACCEPT #Reglas OUTPUT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #Aqui pones lo que vas a permitir que salga desde este servidor hacia la LAN o hacia la WAN #Por ejemplo que esta máquina tenga acceso al puerto 80 para actualizar los repositorios y el repo lo tienes en la LAN iptables -A OUTPUT -o eth0 -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT #Si lo tienes publicado en la WAN sería así iptables -A OUTPUT -o eth1 -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT Saludos Lic. Omar Padrón Capote Administrador de Red ERMP Cfgos Tel. 515887 o 515878 ext 115 ----- Mensaje original ----- De: "Amaury Viera Hernández" <avhernan...@uci.cu> Para: "Lista cubana de soporte técnico en Tecnologias Libres" <gutl-l@jovenclub.cu> Enviados: Jueves, 31 de Mayo 2012 20:32:33 Asunto: Re: [Gutl-l] problema de iptable con servidor de correo... tiene toda la razon, el problema principal esta dado porque el servidor de correo esta dentro de la subred de la empresa, por lo que al hacer el relay, y tambien descargar los correos con el fetchmail, tiene que pasar por el proxy de la empresa, que es el que le tiene que dar la salida hacia infomed seria, un proxy que da salida a internet a la empresa y tambien al servidor de correo que esta en la lan, lo que no sabemos es que colocar en el iptable, si alguien tuviera esta situacion y me pudiera enviar el script de iptable que usa en el proxy para redireccionar los paquetes, es decir, redireccionar las peticiones desde una tarjeta de red, hacia a la que va para infomed y viceversa ----- Mensaje original ----- De: "Omar Padrón Capote" <o...@mpcfg.co.cu> Para: "Lista cubana de soporte técnico en Tecnologias Libres" <gutl-l@jovenclub.cu> Enviados: Jueves, 31 de Mayo 2012 16:13:43 Asunto: Re: [Gutl-l] problema de iptable con servidor de correo... Tienes que dar un poco mas de detalles. Una pregunta en esa misma máquina esta el servidor de correo? Saludos Lic. Omar Padrón Capote Administrador de Red ERMP Cfgos Tel. 515887 o 515878 ext 115 ----- Mensaje original ----- De: "Amaury Viera Hernández" <avhernan...@uci.cu> Para: "Lista cubana de soporte técnico en Tecnologias Libres" <gutl-l@jovenclub.cu> Enviados: Jueves, 31 de Mayo 2012 15:51:00 Asunto: [Gutl-l] problema de iptable con servidor de correo... Buenas .... Actualmente se esta realizando la migración de la empresa y ya se ha terminado casi completa aunque ahora tenemos un problema, el servidor de correo de la empresa no se conecta al servidor de correo de infomed por lo que no puede ni descargar ni enviar los correos, el problema pensamos que sea con el iptables. Si alguien ha realizados configuraciones en situaciones similares les agradecería mucho la colaboración...las reglas que tenemos son las siguientes.... iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar ## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT # Al firewall tenemos acceso desde la red local iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT ## Abrimos el acceso a puertos de correo # Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT # Abrimos el pop3 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT ## Ahora con regla FORWARD filtramos el acceso de la red local ## al exterior. Como se explica antes, a los paquetes que no van dirigidos al ## propio firewall se les aplican reglas de FORWARD # Aceptamos que vayan a puertos 80 iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT # Aceptamos que vayan a puertos https iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT # Y denegamos el resto. Si se necesita alguno, ya avisaran iptables -A FORWARD -s 192.168.10.0/24 -i eth0 -j DROP # Ahora hacemos enmascaramiento de la red local # y activamos el BIT DE FORWARDING iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j MASQUERADE # Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras máquinas puedan salir a traves del firewall. echo 1 > /proc/sys/net/ipv4/ip_forward ## Y ahora cerramos los accesos indeseados del exterior: # Nota: 0.0.0.0/0 significa: cualquier red # Cerramos el rango de puerto bien conocido iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP 10mo. ANIVERSARIO DE LA CREACION DE LA UNIVERSIDAD DE LAS CIENCIAS INFORMATICAS... CONECTADOS AL FUTURO, CONECTADOS A LA REVOLUCION http://www.uci.cu http://www.facebook.com/universidad.uci http://www.flickr.com/photos/universidad_uci ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu http://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu http://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l 10mo. ANIVERSARIO DE LA CREACION DE LA UNIVERSIDAD DE LAS CIENCIAS INFORMATICAS... CONECTADOS AL FUTURO, CONECTADOS A LA REVOLUCION http://www.uci.cu http://www.facebook.com/universidad.uci http://www.flickr.com/photos/universidad_uci 10mo. ANIVERSARIO DE LA CREACION DE LA UNIVERSIDAD DE LAS CIENCIAS INFORMATICAS... CONECTADOS AL FUTURO, CONECTADOS A LA REVOLUCION http://www.uci.cu http://www.facebook.com/universidad.uci http://www.flickr.com/photos/universidad_uci ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu http://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu http://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
