URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82405
[ Назад ]
Исходное сообщение
"Замена ip-адреса"
Отправлено JackRip , 15-Окт-08 01:36 
Привет всем. ОЧень срочно нужна ваша помощь. Ситуация следующая: есть шлюз на freebsd (2 сетевых, внешняя - 80.80.80.80, внутренняя - 192.168.1.1), есть в локалке комп с эксчендж 2007 (192.168.1.2). Ipfw. Публикую на шлюзе порты 25,110 через /etc/services и inetd. Все хорошо, почта ходит, но есть проблема - эксчендж видит все входящие с айпишником 80.80.80.80, а не их родным айпи. Соответственно, не работают проверки и ограничения на основе айпи-адресации. Как бы этого избежать?
Содержание
Сообщения в этом обсуждении
"Замена ip-адреса"
Отправлено JackRip , 15-Окт-08 19:41 
Неужели никто не занимался публикацией портов?


"Замена ip-адреса"
Отправлено Grey , 16-Окт-08 09:50 
>Неужели никто не занимался публикацией портов?

а каким образом Вы "публикуете" порты?

"Замена ip-адреса"
Отправлено JackRip , 16-Окт-08 09:55 
>>Неужели никто не занимался публикацией портов?
>
>а каким образом Вы "публикуете" порты?

/usr/ports/sysutils/socket
в /etc/services
port25        25/tcp
port25        25/udp
в /etc/inetd.conf

port25 stream tcp nowait root /usr/local/bin/socket socket  192.168.1.2 25

Примерно так  

"Замена ip-адреса"
Отправлено PavelR , 16-Окт-08 10:04 
>[оверквотинг удален]
>
>/usr/ports/sysutils/socket
>в /etc/services
>port25        25/tcp
>port25        25/udp
>в /etc/inetd.conf
>
>port25 stream tcp nowait root /usr/local/bin/socket socket  192.168.1.2 25
>
>Примерно так

переделайте на использование трансляции адресов, а-ля DNAT.

man natd
google://natd

"Замена ip-адреса"
Отправлено Rontex , 16-Окт-08 16:14 
я использую ipnat все работает как часы и на уровне ядра в отличии от natd ;)...почтовый сервак (у меня Mdeamon под винду 100% видит реальные IP входящих smtp подключений).
"Замена ip-адреса"
Отправлено JackRip , 16-Окт-08 16:18 
>я использую ipnat все работает как часы и на уровне ядра в
>отличии от natd ;)...почтовый сервак (у меня Mdeamon под винду 100%
>видит реальные IP входящих smtp подключений).

Щас добью natd и если он не будет показывать реальные айпи, то примусь за ipnat... Проблема тоже в почтовике внутри.

"Замена ip-адреса"
Отправлено JackRip , 16-Окт-08 16:26 
В общем, natd заменяет реальные айпи на свои.
Реализация:
natd.conf
use_sockets yes
same_ports yes
interface tun0
redirect_port tcp 192.168.1.2:25 25

"Замена ip-адреса"
Отправлено Rontex , 16-Окт-08 16:38 
>В общем, natd заменяет реальные айпи на свои.
>Реализация:
>natd.conf
>use_sockets yes
>same_ports yes
>interface tun0
>redirect_port tcp 192.168.1.2:25 25

Я natd не использовал для роутинга, поэтому точно сказать не могу...За ipnat уверен, работаю с ним. А вообще по правильному нужно использовать не роутинг, а строитиь почтовый релей, т.е. все проверки должны проходить на FreeBSD, напремер средствами sendmail, а потом, если проверка пройдена, перенаправлять тем же sendmail на твой внутренний сервак. Так гораздо безопастней! Уж очень стремно 25 порт microsoft показывать в мир ;)...

У меня так это реализовано... 110 порт у меня прокинут ipnat и сервак видит реальный IP подключений.

"Замена ip-адреса"
Отправлено JackRip , 16-Окт-08 17:31 
а можешь подсказать что не хватает:

server# ipnat -l
List of active MAP/Redirect filters:
rdr tun0 80.80.80.80/32 port 4000 -> 192.168.1.2 port 3389 tcp

List of active sessions:
RDR 192.168.1.2     3389  <- -> 80.80.80.80  4000  [90.90.90.90 2723]

Т.е. я прописал правило на редирект 3389 с терминала внутри сети на внешний. Пытаюсь коннектиться с айпи 90.90.90.90 - соединение не устанавливается, но в активных сессиях появляется.


"Замена ip-адреса"
Отправлено Grey , 17-Окт-08 11:33 
>В общем, natd заменяет реальные айпи на свои.
>Реализация:
>natd.conf
>use_sockets yes
>same_ports yes
>interface tun0
>redirect_port tcp 192.168.1.2:25 25

не заменяет он ни разу .... несколько лет пользую его на шлюзах и редирект порта пользую ... всё нормально работает ...