2002年1月17日

[obu:01259] Re: iptables 設定後、外部メールサーバーが読めない

柴田(ひ)@福岡です。

これまた、推定でポンチ絵を書き直してみますが、
間違っていたらその旨ご指摘下さい。

> はじめまして、あきたと申します。

ども。

> OpenBlockSSが手に入ったので

> 図のような構成にしようと奮闘中です。
>
> Router(To Internet)
> | 210.ppp.qqq.233
> |
> +-------+--------+
> | HUB +---------------------+
> +-------+--------+ |
> | |
> | eth1 210.ppp.qqq.235 |
> +-------+--------+ +--------+--------+
> | | | MAIL,WWW,DNS |
> | OpenBlockSS | | 210.ppp.qqq.234 |
> | /DHCP | | |
> +-------+--------+ +-----------------+
> | eth0 192.xxx.yyy.254
> +-------+-----------+
> | LAN Users |
> | 192.xxx.yyy.101 |
> | - 192.xxx.yyy.200 |
> +-------------------+
> LAN側からOpenBlockSSの外にあるメールサーバーのメールが読めません。

LAN Usersから210.ppp.qqq.234のpop(port 110)へアクセスできないという事ですね?
それ以外は正常なのですか?

> iptablesの設定がまずいと思います。
> どなたか助けてください。

私の頭の中はいまだにipchainsで、iptablesはまだ本格的に使っていないのですが、
下記の設定を見るに、

> /usr/sbin/iptables -t nat -A PREROUTING -p TCP -i eth1 -d 210.ppp.qqq.235
> --dport 110 -j DNAT --to-destination 192.xxx.yyy.101-192.xxx.yyy.200:110

210.ppp.qqq.235のport 110宛のパケットを192.xxx.yyy.101から192.xxx.yyy.200の
port110に変更しているように見えるのですが。

これだとLAN Usersからのpopアクセスは、自分のところに舞い戻ってきませんか?

#参照: http://www.linux.or.jp/JF/JFdocs/NAT-HOWTO-6.html

単純にIPMASQするのであれば、この辺りのルールは不要ではないかと思います。

いかがでしょうか?

--
WWWWW shibata@xxxxx
|O-O| 柴田 尚明@福岡市 一身上の都合により、また「ひげ」はえました
0(mmm)0 P-mail: 070-5419-3233 IRC: #luky
~ http://his.luky.org/ http://hoop.euqset.org/

投稿者 xml-rpc : 2002年1月17日 02:28
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/7262
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。