[Postfixbuch-users] Masquerading Problem

Scholz, Christian cscholz at 2nibbles4u.de
Mo Jun 9 11:48:45 CEST 2008 

Ich hab noch mal ein Problem mit dem masquerading mittels iptables.

Der Port 25 einer ans Internet angebundenen Maschine wird auf eine interne umgeleitet.
Jetzt hab ich festgestellt, dass seit irgend einer Änderung die connects mit der IP der Maschine kommen die den Port 25 weiter leitet.
Das ist natürlich fatal... weiß jemand wo der Fehler ist bzw. wie ich das unterbinden kann?

Hier der relevante Teil aus dem Firewall script:

echo "set outgoing IP"
$IPT -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source $FAILOVERIP
$IPT -t nat -A POSTROUTING -p udp -o eth0 -j SNAT --to-source $FAILOVERIP

      #=====================================#
      # NAT/MASQUERADEING Konfiguration     #
      #=====================================#
      echo
      echo -n "   NAT/MASQUERADEING Konfiguration ... "
      echo ""

            echo -n "       Kernel Module für NAT laden .... "
              /sbin/modprobe ip_tables
              /sbin/modprobe ip_conntrack
              /sbin/modprobe ip_conntrack_ftp
              /sbin/modprobe ip_conntrack_irc
              /sbin/modprobe iptable_nat
              /sbin/modprobe ip_nat_ftp
              /sbin/modprobe ip_nat_irc
            echo -e "\033[40;1;32m OK \033[0m"

            echo -n "       IP forwarding aktivieren ..."
              echo "1" > /proc/sys/net/ipv4/ip_forward
              echo "1" > /proc/sys/net/ipv4/ip_dynaddr
            echo -e "\033[40;1;32m OK \033[0m"

            echo -n "       Daten zwischen $LOCAL_IFACE <-> $INET_IFACE nicht unterbrechen .... "
              $IPT -A FORWARD -i $INET_IFACE -o $LOCAL_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
              $IPT -A FORWARD -i $LOCAL_IFACE -o $INET_IFACE -j ACCEPT
              $IPT -A FORWARD -i $INET_IFACE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
            echo -e "\033[40;1;32m OK \033[0m"

            echo -n "       SNAT (MASQUERADE) auf dem WAN_INTERFACE aktivieren .... "
              $IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
##              $IPT --table nat --append POSTROUTING -j MASQUERADE
              $IPT --table nat --append POSTROUTING -o vmnet1 -j MASQUERADE
              $IPT --table nat --append POSTROUTING -o vmnet8 -j MASQUERADE
              $IPT --table nat --append POSTROUTING -o eth0 -j MASQUERADE
              $IPT -P OUTPUT ACCEPT -t nat
              $IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
              $IPT -A FORWARD -i $INET_IFACE -o $LOCAL_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT
              $IPT -A FORWARD -i $LOCAL_IFACE -o $INET_IFACE -j ACCEPT
              $IPT -A POSTROUTING -t nat -o eth0 -j MASQUERADE
              $IPT -A POSTROUTING -t nat -o vmnet8 -j MASQUERADE
            echo -e "\033[40;1;32m OK \033[0m"

            echo -n "       Ports an die VMWare weiterleiten .... "
              $IPT -t nat -I PREROUTING -p tcp -i eth0 --dport 25 -j DNAT --to 172.16.141.128:25
            echo -e "\033[40;1;32m OK \033[0m"

            echo -n "   $LOCAL_IFACE Verkehr erlauben .... "
              $IPT -A INPUT -i $LOCAL_IFACE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
              $IPT -A OUTPUT -o $LOCAL_IFACE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
            echo -e "\033[40;1;32m OK \033[0m"

           echo -n "   Localhost Verkehr erlauben .... "
#              $IPT -A INPUT -i $LOCAL_IFACE -j ACCEPT
#              $IPT -A OUTPUT -o $LOCAL_IFACE -j ACCEPT
          echo -e "\033[40;1;32m OK \033[0m"

      echo ""

Gruß Christian Scholz

Mehr Informationen über die Mailingliste Postfixbuch-users