Помогите разрешить проблему:
Имеется шлюз eth0-локалка (192.168.1.0) eth1(192.168.33.245) -провайдер, на шлюзе стоит sendmail и vpn. Пользователи локалки через vpn ходят в инет, при этом vpn сервер, при авторизаци на нем, выдает пользователям адреса из диапазона 192.168.3.2-250.
Необходимо чтобы локальная почта ходила без авторизации по vpn, а вот если пользователь хочет забрать или отправить почту во внешний мир - то это получалось у него только после авторизации на vpn. Другими словами билингу (UTM) требуется считать вход-выход внешнеий почты, а локальный почтовый трафик не трогать.

• Sendmail и VPN,A Clockwork Orange, 09:16 , 25-Мрт-04
  • Sendmail и VPN,SAShok, 09:30 , 25-Мрт-04
  • Sendmail и VPN,SAShok, 10:45 , 25-Мрт-04
    • Sendmail и VPN,A Clockwork Orange, 11:12 , 25-Мрт-04
      • Sendmail и VPN,A Clockwork Orange, 11:13 , 25-Мрт-04
        • Sendmail и VPN,SAShok, 11:25 , 25-Мрт-04
          • Sendmail и VPN,A Clockwork Orange, 11:48 , 25-Мрт-04
            • Sendmail и VPN,SAShok, 12:34 , 25-Мрт-04
              • Sendmail и VPN,A Clockwork Orange, 12:50 , 25-Мрт-04
                • Sendmail и VPN,SAShok, 13:44 , 25-Мрт-04
                  • Sendmail и VPN,A Clockwork Orange, 14:06 , 25-Мрт-04
                    • Sendmail и VPN,SAShok, 14:21 , 25-Мрт-04
                      • Sendmail и VPN,SAShok, 14:27 , 25-Мрт-04
                      • Sendmail и VPN,A Clockwork Orange, 14:27 , 25-Мрт-04
                        • Sendmail и VPN,SAShok, 14:38 , 25-Мрт-04
                          • Sendmail и VPN,A Clockwork Orange, 14:41 , 25-Мрт-04
                            • Sendmail и VPN,SAShok, 15:01 , 25-Мрт-04
                              • Sendmail и VPN,A Clockwork Orange, 15:04 , 25-Мрт-04
                                • Sendmail и VPN,SAShok, 15:14 , 25-Мрт-04

1. Прописывай для релея в access сеть vpn
В результате чего только для этой сети будет разершено отправлять почту наружу.
Для сетей не указанный в access релей закрыт, а локльную доставку никто не отменял.
2. Твое мнение по работе UTM как оно работает? Устраивает? Какие недостатки?

>1. Прописывай для релея в access сеть vpn
>В результате чего только для этой сети будет разершено отправлять почту наружу.
>
>Для сетей не указанный в access релей закрыт, а локльную доставку никто
>не отменял.
Сенкс щас попробую
>2. Твое мнение по работе UTM как оно работает? Устраивает? Какие недостатки?
мы ее пока тестируем, в принципе устраивает, недостатков пока нет (покажет реальная работа) http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=4704#...

>1. Прописывай для релея в access сеть vpn
>В результате чего только для этой сети будет разершено отправлять почту наружу.
Ничего неполучается, в access прописано
localhost.localdomain           RELAY
localhost                       RELAY
127.0.0.1                       RELAY
192.168.3                       RELAY
почта уходит с локалки :(

Куда уходит
из сети 192.168.3 будет уходить наружу

Базу пересобрал после этого?

уходит в мир даже без установки vpn соединения

makemap hash access.db < access  выполнил

A.B.C                       RELAY
192.168.21                  RELAY

Поробуй так. Без локал хостов

>A.B.C            
>          
>RELAY
>192.168.21            
>      RELAY
>
>Поробуй так. Без локал хостов

Попробовал - почту с интернета пользователь забирает, а вот отправить неможет как с соединением с сервером по vpn так и без него :(
Может заставить както сервак принимать не на 192,168,1,1 а на виртуальном интерфейсе типа 192,168,3,1 (192,168,3,0 - впновская сеть)?

А без access может отправить почту?

вот что сейчас имею:
в access:
192.168.3    RELAY

У пользователя в качестве pop и smtp серверов указан 192.168.3.1
без соединения по впн человек может принимать-отправлять локальную почту, в интернет почту отпарвить неможет (это уже хорошо)а вот принять может (это плохо). Если он установил впн соединение то может отправлять в инет.

На фига , надо указывать нормальный адрес, лучше внешний по моему мнению, а не адрес ppp ng или tun что у тебя там за интерфейс имеет адрес 192.168.3.1. Тогда ты сможешь получать и отправлять локально почту из сети 192.168.1.0.
После установки vpn соединения ты сможешь отправлять почту в соответствии с access во вне и получать почту.

>На фига , надо указывать нормальный адрес, лучше внешний по моему мнению,
>а не адрес ppp ng или tun что у тебя там
>за интерфейс имеет адрес 192.168.3.1. Тогда ты сможешь получать и отправлять
>локально почту из сети 192.168.1.0.
>После установки vpn соединения ты сможешь отправлять почту в соответствии с access
>во вне и получать почту.
щас так и сделал, клиент в бате указал внешний адрес шлюза, без впн - локальную отправляет и получает, также получает почту с интернета :(, установив впн - появляется возможность отправлять почту в интернет.
Как клиенту НЕполучать внешнюю почту без впн?

:( теперь вот что в логах полезло
Mar 25 13:12:56 rob sendmail[28089]: rejecting connections on daemon MTA: load average: 12
Mar 25 13:13:11 rob sendmail[28089]: rejecting connections on daemon MTA: load average: 17
Mar 25 13:13:28 rob sendmail[28089]: rejecting connections on daemon MTA: load average: 22
Mar 25 13:13:43 rob sendmail[28089]: rejecting connections on daemon MTA: load average: 25
Mar 25 13:14:16 rob last message repeated 2 times
Mar 25 13:14:31 rob sendmail[28089]: rejecting connections on daemon MTA: load average: 23
Mar 25 13:14:50 rob sendmail[28089]: rejecting connections on daemon MTA: load average: 18
Mar 25 13:15:05 rob sendmail[28089]: rejecting connections on daemon MTA: load average: 15
Mar 25 13:15:20 rob sendmail[28089]: rejecting connections on daemon MTA: load average: 12
Mar 25 13:15:35 rob sendmail[28089]: accepting connections again for daemon MTA
к чему бы это?

Никак не запретить,
Либо запретить вообще получать без впн, либо никак.
Почта пришла на сервер. ПОП серверу какая разница откуда пришла почта и с какого адреса ты ее получаешь.

>Никак не запретить,
>Либо запретить вообще получать без впн, либо никак.
>Почта пришла на сервер. ПОП серверу какая разница откуда пришла почта и
>с какого адреса ты ее получаешь.

Да невесело, получается мы платим прову за входящий, а наш пользователь получает свою почту за наш счет :(

А как можно запретить получать без впн?

Просто.
Фаерволом запрещаешь коннект по 110 порту из сети 192.168.1.0 так кажется.
Пока не законнектишься не получишь.

>Просто.
>Фаерволом запрещаешь коннект по 110 порту из сети 192.168.1.0 так кажется.
>Пока не законнектишься не получишь.

я попробовал
ipchains -A input -i eth0 -s 192.168.1.0/255.255.255.0 -p tcp -d 192.168.1.1 110 -j DENY
помогло :)
спасибо, хотя мою проблему нерешило, наверно прийдется по два ящика людям давать - один локальный, а второй реальный :(

А почему нельзя любой коннект только через vpn... Чем плохо

>А почему нельзя любой коннект только через vpn... Чем плохо

Всем хорошо но - у нас локалка в ней 130 чел, интернетом пользуется половина, вторая половина шариться в локалке (кино, контра, ирка и т.д.)у всех пользователей есть свои счета на билинге по истичении средств на которых их непускает в интернет (у игроков баланс = 0, ну ненужен им инет) а если все будут забирать почту по впн - считалка их посчитает и игроков загонит в минуса - начнуться разборки, потом они въедут что можно почту нахаляву получать - и начнется массовая закачка через почту :(
Ко всему нам необходимо чтобы ВСЕ, независимо от состояния счета, получали локальную почту(например рассылка об изминении тарифов и т.п.)
Вот такая грустная у нас история, наверно всетаки прийдется поднимать для всех локальную почту и для желающих давать реальные адреса с надеждой что они не будут злоупотреблять