URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 34528
[ Назад ]

Исходное сообщение
"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Russian , 10-Сен-03 17:00

           -----------------                          --------------------
              ! firewall 1     !                         !  firewall 2        !
              !                !                         !             !
--------------                  -------------------------               ------------local network
internet
  212.95.109.242    10.11.12.1                10.11.12.15         192.168.4.1
              !                !                         !                  !
              !                !                         !                  !
              !                !                         !            !
              !                !                         !                  !
              !----------------                          -------------------
Народ! Подскажите, pls, мозги кипят уже , не могу найти решение тривиальнейшей проблемы.
Вот схема подключения к интернету(надеюсь передалась без искажений)
Описание : машина Firewall 1
-внешний интерфейс 212.95.109.242(подключен к интернету)
-внутренний интерфейс 10.11.12.1
машина Firewall 2
-внешний интерфейс  10.11.12.13(в одной сети с внурт. инт. FIREWALL1)
--внутренний интерфейс 192.168.4.1(подключен к локальной сети)


. Все работает, все ОК.
В локальную сеть подключается Linux машина
с адресом 192.168.4.139(далее ..139).
Задача смешна до безобразия: передавать почту с машины..139 намашину firewall 2.
Посмеялись, теперь послушайте: Для  ..139 машина firewall 2 является также gateway-ем в
интернет,значит в ее настройках gateway по умолчанию 192.168.4.1 Интернет на машине ..139
работает без проблем.
Сама проблема:
Когда sendmail с машины ..139 пытается передать почту на firewall 2, DNS из
интернета сообщает ему внешний адрес 212.95.109.242(что и правильно, почта на firewall 2
ИЗ ИНТЕРНЕТА доходит нормально), так как firewall 1 настроен передавать все запросы из
Интернета по почте на машину Firewall 2. Но из внутренней сети такое не прокатывает и
почту передать невозможно(ошибка : Connection time out with firewall 2).
Пытаюсь сделать автоматическую замену адреса  212.95.109.242 на 192.168.4.1 во всех
пакетах исходящих с ..139 путем:
iptables -t nat -A OUTPUT -d 212.95.109.242 -j DNAT --to-destination 192.168.4.1
Получается: ..139 соединяется с  firewall2 при передаче почты , о чем в логах
firewall 2 остается запись:
NOQUEUE:[192.168.4.139] did not issue MAIL/EXPN/VRFY during connection to MTA
а в логах самого ..139 остается такая ругань:
SYSERR(root):FIREWALL2 CONFIG ERROR: MAIL LOOPS BACK TO ME (MX PROBLEM?)
Как же все-таки заставить ее(139) молча посылать письма на firewall 2 и
чтобы ОНИ ПРИХОДИЛИ??????????????????????????????????????????

Содержание

Sendmail, gateway и iptables!! Не для слабонервных!!!,Russian, 17:06 , 10-Сен-03
Sendmail, gateway и iptables!! Не для слабонервных!!!,Mikhail, 17:11 , 10-Сен-03
- Sendmail, gateway и iptables!! Не для слабонервных!!!,Russian, 17:55 , 10-Сен-03
  - Sendmail, gateway и iptables!! Не для слабонервных!!!,Mikhail, 18:10 , 10-Сен-03
    - Sendmail, gateway и iptables!! Не для слабонервных!!!,Russian, 18:36 , 10-Сен-03
      - Sendmail, gateway и iptables!! Не для слабонервных!!!,Mikhail, 18:46 , 10-Сен-03
        
        Sendmail, gateway и iptables!! Не для слабонервных!!!,Russian, 11:01 , 11-Сен-03
        
        Sendmail, gateway и iptables!! Не для слабонервных!!!,Mikhail, 12:22 , 11-Сен-03
        
        Sendmail, gateway и iptables!! Не для слабонервных!!!,Serp, 00:16 , 28-Сен-03

Сообщения в этом обсуждении

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Russian , 10-Сен-03 17:06

>Народ! Подскажите, pls, мозги кипят уже , не могу найти решение тривиальнейшей
>проблемы.
>Вот схема подключения к интернету(надеюсь передалась без искажений)
>Описание : машина Firewall 1
>-внешний интерфейс 212.95.109.242(подключен к интернету)
>-внутренний интерфейс 10.11.12.1
>машина Firewall 2
>-внешний интерфейс 10.11.12.13(в одной сети с внурт. инт. FIREWALL1)
Вы конечно же поняли, я опечатался, не 10.11.12.13 а 10.11.12.15, sorry

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Mikhail , 10-Сен-03 17:11

А в сети 192.168.4.0/24 есть свой ДНС? Тогда все банально.
Если нет - тогда хуже.

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Russian , 10-Сен-03 17:55

>А в сети 192.168.4.0/24 есть свой ДНС?
Нет ,в сети 192.168.4. нет ДНС, мы пользуемся ДНС провайдера, который находится снаружи , для нас "в интернете". МХ запись DNS у провайдера указывает на внешний адрес FIrewall 1.
Может можно как-то логи детализировать?

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Mikhail , 10-Сен-03 18:10

Мне кажется, правильный (штатный) путь - завести и настроить свой ДНС, там прописАть mx-запись, указывающую на 192.168.4.1. Плюсы - еще и независимость от провайдера, кеширование и т.п.
Другие варианты, конечно, есть...
Может, хотя бы разобраться с 'Connection time out with firewall 2'? Если просто правильно прокидывать пакеты, почта должна проходить 'как бы снаружи'. Вот эти настройки проверь, почему соединение не устанавливается?

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Russian , 10-Сен-03 18:36

>Может, хотя бы разобраться с 'Connection time out with firewall 2'?
Я думаю, что как раз тут все ясно. ДНС из интернета дает внешний адрес Firewall1 , пакет с этим адресом поступает на FIREwall2 ИЗ ВНУТРЕННЕЙ СЕТИ. Он передается дальше на Firewall 1 и отбрасывается им как неправильный (т.к. поступил с внешним адресом на внутренний интерфейс).

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Mikhail , 10-Сен-03 18:46

При правильно настроенном NATе пакет, идущий от 192.168.4.х на 212.95.109.242, на firewall 2 переписывается как source=10.11.12.15 dest=212.95.109.242 и проходит на firewall 1; там, в свою очередь, переписывается на source=212.95.109.242 dest=212.95.109.242 - т.е. выглядит как обычный запрос из интернета. Если ' firewall 1 настроен передавать все запросы из Интернета по почте на машину Firewall 2' - то так и должно произойти, независимо от source-адреса. Если же 'Connection time out with firewall 2' - значит, где-то что-то не совсем так, один из firewall'ов не пропускает, с этим и разбирайся.

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Russian , 11-Сен-03 11:01

Может вот в чем дело:
если все происходит так как ты написал и в итоге Firewall1 передаст назад запрос на прием почты с адресом источника=адресу приемника =внешнему адресу Firewall1, то как Firewall2 узнает, что отвечать надо по адресу 192.168.4.1 ??
Нет , должен быть другой сопособ передачи почты напрямую, без этого кидания пакетов туда-сюда, сквозь принимающую машину..
Будем копать..

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Mikhail , 11-Сен-03 12:22

>Может вот в чем дело:
>если все происходит так как ты написал и в итоге Firewall1 передаст
>назад запрос на прием почты с адресом источника=адресу приемника =внешнему адресу
>Firewall1, то как Firewall2 узнает, что отвечать надо по адресу 192.168.4.1
>??
Ну, эта... Man iptables...
Ответ пойдет обратным путем.
>Нет , должен быть другой сопособ передачи почты напрямую, без этого кидания
>пакетов туда-сюда, сквозь принимающую машину..
>Будем копать..
Я же говорю: более правильный путь - отправлять напрямую, т.е. или указать в клиенте ip-адрес (192.168.4.1) smtp-сервера для отправки, либо средствами ДНС.
А так вообще непонятно - кто держит ДНС для зоны 192.168.4.х? Конечно, не очень обязательно, но неудобно как-то. И от провайдера зависимость остается.

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Отправлено Serp , 28-Сен-03 00:16

может покопать sendmail и прописать ему Firewall2 с его IP? У меня так работает без всяких днсов...