URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 56804
[ Назад ]

Исходное сообщение
"FireWall на FreeBSD, помогите начинающему советом"
Отправлено Barrakuda , 26-Май-05 19:06

машина имеет 2 сетевых интерфейса, один смотрит в "серую" локалку, второй - в "интернет". Поднял IPFW, настроил правила NAT, "Серые" машины в интернет выходят, все работает как надо. На этой же машине поднял DNS для внешних запросов, все работает нормально. Осталась проблема с почтой. В "серой" сети стоит мэйл-сервер (машина с одним сетевым интерфейсом, на ней крутится MDaemon), на нем корпоративная почта (адреса вида user@mydomain.com). Нужно что бы этот сервер мог принимать почту из внешнего мира (ну и посылать) как будто он воткнут в "интернет" напрямую.
Не пинайте ногами, подскажите как настроить или где можно прочитать.

Содержание

FireWall на FreeBSD, помогите начинающему советом,Phoenix, 00:13 , 27-Май-05
- FireWall на FreeBSD, помогите начинающему советом,Barrakuda, 09:14 , 27-Май-05
  - FireWall на FreeBSD, помогите начинающему советом,open, 09:18 , 27-Май-05
    - FireWall на FreeBSD, помогите начинающему советом,Hammer, 19:11 , 27-Май-05
  - FireWall на FreeBSD, помогите начинающему советом,denn, 19:19 , 27-Май-05
    - FireWall на FreeBSD, помогите начинающему советом,Barrakuda, 12:01 , 28-Май-05

Сообщения в этом обсуждении

"FireWall на FreeBSD, помогите начинающему советом"
Отправлено Phoenix , 27-Май-05 00:13

>машина имеет 2 сетевых интерфейса, один смотрит в "серую" локалку, второй -
>в "интернет". Поднял IPFW, настроил правила NAT, "Серые" машины в интернет
>выходят, все работает как надо. На этой же машине поднял DNS
>для внешних запросов, все работает нормально. Осталась проблема с почтой. В
>"серой" сети стоит мэйл-сервер (машина с одним сетевым интерфейсом, на ней
>крутится MDaemon), на нем корпоративная почта (адреса вида user@mydomain.com). Нужно что
>бы этот сервер мог принимать почту из внешнего мира (ну и
>посылать) как будто он воткнут в "интернет" напрямую.
>Не пинайте ногами, подскажите как настроить или где можно прочитать.
в /etc/rc.conf пишешь
natd_flags="-redirect_port tcp 10.1.1.10:25 25"
и про 110 порт так же нада не забыть, тока тогда чето вроде:
natd_flags="-f /etc/natd.conf"
создаем файл
ee /etc/natd.conf
и там пишем
-redirect_port tcp 10.1.1.10:25 25
-redirect_port tcp 10.1.1.10:110 110
Причем стоит отметить, что после 2-1 строчки, нужно создать пустую строчку(сбросить каретку вниз)
сохраняем, рестартим
вроде так.
(10.1.1.10 - ip адрес серой машины)

"FireWall на FreeBSD, помогите начинающему советом"
Отправлено Barrakuda , 27-Май-05 09:14

>в /etc/rc.conf пишешь
>natd_flags="-redirect_port tcp 10.1.1.10:25 25"
>и про 110 порт так же нада не забыть, тока тогда чето
>вроде:
>natd_flags="-f /etc/natd.conf"
>создаем файл
>ee /etc/natd.conf
>и там пишем
>-redirect_port tcp 10.1.1.10:25 25
>-redirect_port tcp 10.1.1.10:110 110
>
>Причем стоит отметить, что после 2-1 строчки, нужно создать пустую строчку(сбросить каретку
>вниз)
>сохраняем, рестартим
>вроде так.
>(10.1.1.10 - ip адрес серой машины)
==============
имхо это не то. Опишу более подробно.
на внешний интерфейс (fxp1) назначен public IP (прим.212.212.212.12) и на него же alias еще 2-х IP (прим.212.212.212.13 и 212.212.212.14).
На fxp1 поднят natd.
В DNS я создал "А" запись "mail IN A 212.212.212.14"
В DNS МХ запись указывает на 212.212.212.14 (@ IN MX 10 mail.mydomain.com)
Теперь для всего "внешнего" мира почта для меня будет идти на mail.mydomain.com (на IP 212.212.212.14).
Но почтовый сервер находится в серой сети, у него другое имя и серый IP.
Мне нужно завернуть весь SMTP и POP траффик который будет приходить на "почторый" IP (212.212.212.14) на серый "почтовый" IP.
Также нужно выпускать почтовый траффик с "серого" почтового сервера через тот же самый IP (212.212.212.14).
Если я правильно читал мануал это должна делать IPFORWARD, но как правильно ее использовать ?????
Прошу вашего совета.

"FireWall на FreeBSD, помогите начинающему советом"
Отправлено open , 27-Май-05 09:18

тебе ответили как завернуть,
man natd на тему -redirect_port
forward это не то
наружу твой почтовик как и другие компы будет через обычный nat выходить...

>>в /etc/rc.conf пишешь
>>natd_flags="-redirect_port tcp 10.1.1.10:25 25"
>>и про 110 порт так же нада не забыть, тока тогда чето
>>вроде:
>>natd_flags="-f /etc/natd.conf"
>>создаем файл
>>ee /etc/natd.conf
>>и там пишем
>>-redirect_port tcp 10.1.1.10:25 25
>>-redirect_port tcp 10.1.1.10:110 110
>>
>>Причем стоит отметить, что после 2-1 строчки, нужно создать пустую строчку(сбросить каретку
>>вниз)
>>сохраняем, рестартим
>>вроде так.
>>(10.1.1.10 - ip адрес серой машины)
>
>==============
>
>имхо это не то. Опишу более подробно.
>
>на внешний интерфейс (fxp1) назначен public IP (прим.212.212.212.12) и на него же
>alias еще 2-х IP (прим.212.212.212.13 и 212.212.212.14).
>На fxp1 поднят natd.
>
>В DNS я создал "А" запись "mail IN A 212.212.212.14"
>В DNS МХ запись указывает на 212.212.212.14 (@ IN MX 10 mail.mydomain.com)
>
>Теперь для всего "внешнего" мира почта для меня будет идти на mail.mydomain.com
>(на IP 212.212.212.14).
>
>Но почтовый сервер находится в серой сети, у него другое имя и
>серый IP.
>Мне нужно завернуть весь SMTP и POP траффик который будет приходить на
>"почторый" IP (212.212.212.14) на серый "почтовый" IP.
>Также нужно выпускать почтовый траффик с "серого" почтового сервера через тот же
>самый IP (212.212.212.14).
>
>Если я правильно читал мануал это должна делать IPFORWARD, но как правильно
>ее использовать ?????
>
>Прошу вашего совета.

"FireWall на FreeBSD, помогите начинающему советом"
Отправлено Hammer , 27-Май-05 19:11

>тебе ответили как завернуть,
>man natd на тему -redirect_port
>forward это не то
>наружу твой почтовик как и другие компы будет через обычный nat выходить...
>
>
>
>>>в /etc/rc.conf пишешь
>>>natd_flags="-redirect_port tcp 10.1.1.10:25 25"
>>>и про 110 порт так же нада не забыть, тока тогда чето
>>>вроде:
>>>natd_flags="-f /etc/natd.conf"
>>>создаем файл
>>>ee /etc/natd.conf
>>>и там пишем
>>>-redirect_port tcp 10.1.1.10:25 25
>>>-redirect_port tcp 10.1.1.10:110 110
>>>
>>>Причем стоит отметить, что после 2-1 строчки, нужно создать пустую строчку(сбросить каретку
>>>вниз)
>>>сохраняем, рестартим
>>>вроде так.
>>>(10.1.1.10 - ip адрес серой машины)
>>
>>==============
>>
>>имхо это не то. Опишу более подробно.
>>
>>на внешний интерфейс (fxp1) назначен public IP (прим.212.212.212.12) и на него же
>>alias еще 2-х IP (прим.212.212.212.13 и 212.212.212.14).
>>На fxp1 поднят natd.
>>
>>В DNS я создал "А" запись "mail IN A 212.212.212.14"
>>В DNS МХ запись указывает на 212.212.212.14 (@ IN MX 10 mail.mydomain.com)
>>
>>Теперь для всего "внешнего" мира почта для меня будет идти на mail.mydomain.com
>>(на IP 212.212.212.14).
>>
>>Но почтовый сервер находится в серой сети, у него другое имя и
>>серый IP.
>>Мне нужно завернуть весь SMTP и POP траффик который будет приходить на
>>"почторый" IP (212.212.212.14) на серый "почтовый" IP.
>>Также нужно выпускать почтовый траффик с "серого" почтового сервера через тот же
>>самый IP (212.212.212.14).
>>
>>Если я правильно читал мануал это должна делать IPFORWARD, но как правильно
>>ее использовать ?????
>>
>>Прошу вашего совета.

Да без бэ... так и надо делать!

"FireWall на FreeBSD, помогите начинающему советом"
Отправлено denn , 27-Май-05 19:19

>>в /etc/rc.conf пишешь
>>natd_flags="-redirect_port tcp 10.1.1.10:25 25"
>>и про 110 порт так же нада не забыть, тока тогда чето
>>вроде:
>>natd_flags="-f /etc/natd.conf"
>>создаем файл
>>ee /etc/natd.conf
>>и там пишем
>>-redirect_port tcp 10.1.1.10:25 25
>>-redirect_port tcp 10.1.1.10:110 110
>>
>>Причем стоит отметить, что после 2-1 строчки, нужно создать пустую строчку(сбросить каретку
>>вниз)
>>сохраняем, рестартим
>>вроде так.
>>(10.1.1.10 - ip адрес серой машины)
>
>==============
>
>имхо это не то. Опишу более подробно.
>
>на внешний интерфейс (fxp1) назначен public IP (прим.212.212.212.12) и на него же
>alias еще 2-х IP (прим.212.212.212.13 и 212.212.212.14).
>На fxp1 поднят natd.
>
>В DNS я создал "А" запись "mail IN A 212.212.212.14"
>В DNS МХ запись указывает на 212.212.212.14 (@ IN MX 10 mail.mydomain.com)
>
>Теперь для всего "внешнего" мира почта для меня будет идти на mail.mydomain.com
>(на IP 212.212.212.14).
>
>Но почтовый сервер находится в серой сети, у него другое имя и
>серый IP.
>Мне нужно завернуть весь SMTP и POP траффик который будет приходить на
>"почторый" IP (212.212.212.14) на серый "почтовый" IP.
>Также нужно выпускать почтовый траффик с "серого" почтового сервера через тот же
>самый IP (212.212.212.14).
>
>Если я правильно читал мануал это должна делать IPFORWARD, но как правильно
>ее использовать ?????
>
>Прошу вашего совета.

какой почтовый демон используеться

"FireWall на FreeBSD, помогите начинающему советом"
Отправлено Barrakuda , 28-Май-05 12:01

>
>
>какой почтовый демон используеться
в серой сети стоит почтовик MDaemon
а проблема решалась совсем просто, в rc.conf добавил одну строчку
natd_flags="-redirect_address 192.168.1.33 212.212.212.14"
и все заработало как и требовалось, почта ходит через 212.212.212.14