Paulo, Aqui eu configurei assim:
Para permitir ao proxy/firewall se comunicar com os servidores externos: # Configuracao para acesso a MAIL (POP3/SMTP) # permissao para enviar pacotes para servidor POP3 iptables -A OUTPUT -o eth0 -p tcp -s $IP_EXTERNO -d $POP --sport 1024: --dport 110 -j ACCEPT # permissao para enviar pacotes para servidor SMTP iptables -A OUTPUT -o eth0 -p tcp -s $IP_EXTERNO -d $SMTP --sport 1024: --dport 25 -j ACCEPT # permissao para receber resposta do servidor POP3 iptables -A INPUT -i eth0 -p tcp -s $POP -d $IP_EXTERNO --sport 110 --dport 1024: -m state --state ESTABLISHED -j ACCEPT # permissao para receber resposta do servidor SMTP iptables -A INPUT -i eth0 -p tcp -s $SMTP -d $IP_EXTERNO --sport 25 --dport 1024: -m state --state ESTABLISHED -j ACCEPT Para fazer o mascaramento dos micros internos para a rede externa: # Acesso ao servidor POP3 # fazendo o mascaramento dos pacotes da rede interna para o POP3 iptables -A POSTROUTING -o eth0 -p tcp -s $REDE -d $POP --sport 1024: --dport 110 -j MASQUERADE -t nat # permitindo o FORWARD da rede interna para o POP3 iptables -A FORWARD -o eth0 -p tcp -s $REDE -d $POP --sport 1024: --dport 110 -j ACCEPT # permitindo o FORWARD do POP3 para a rede interna iptables -A FORWARD -o eth1 -p tcp -s $POP -d $REDE --sport 110 --dport 1024: -j ACCEPT # Acesso ao servidor SMTP # fazendo o mascaramento dos pacotes da rede interna para o SMTP iptables -A POSTROUTING -o eth0 -p tcp -s $REDE -d $SMTP --sport 1024: --dport 25 -j MASQUERADE -t nat # permitindo o FORWARD da rede interna para o SMTP iptables -A FORWARD -o eth0 -p tcp -s $REDE -d $SMTP --sport 1024: --dport 25 -j ACCEPT # permitindo o FORWARD do SMTP para a rede interna iptables -A FORWARD -o eth1 -p tcp -s $SMTP -d $REDE --sport 25 --dport 1024: -j ACCEPT A minha rede interna esta conectada na placa eth1 do firewall e a rede externa na eth0. E so configurar $REDE, $POP,$SMT e $IP_EXTERNO que funciona, pelo menos, aqui esta funcionando. E ai vai uma pergunta, por que nao funciona se eu so tentar usar a tabela nat, fazendo snat e dnat? Tentei configurar os clientes internos dizendo que o servidor POP e SMTP era o proprio firewall, fiz uma regra de PREROUTING fazando DNAT, para dizer que os pacotes deveriam ser enviados para os servidores de verdade e fiz uma regra de POSTROUTING fazendo SNAT para dizer que os pacotes tinham saido do firewall, nao configurei FORWARD e nem fiz MASQUERADA. Nao funcionou :( O DNAT e SNAT nao sao desfeitos automaticamente quando volta a resposta? Achei que se apenas trocasse o destino e origem, e o proprio iptables desfizesse isto automaticamente, funcionaria, mas nao deu certo. Por que? Paulo Ditarso Maciel J�nior wrote: >�la pra todos, > >Na minha empresa eu tenho um servidor CL 7.0 que serve de proxy para minha rede >interna. O servidor proxy est� funcionando beleza. O meu problema � que minhas >esta��es clientes n�o conseguem baixar emails. Eu preciso de uma regra para o >iptables que permita as minhas esta��es baixarem os emails. > >Como ficaria as seguintes linhas descritas abaixo com o iptables > > ipchains -A forward -p tcp -s 10.0.0.0/24 -d 0/0 25 -j MASQ > ipchains -A forward -p tcp -s 10.0.0.0/24 -d 0/0 110 -j MASQ > >Desde j�, agrade�o a aten��o. > Assinantes em 07/03/2002: 2248 Mensagens recebidas desde 07/01/1999: 157441 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
