URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85531
[ Назад ]

Исходное сообщение
"Транляция на NAT проброшенного адреса из внутренней сети"
Отправлено enno , 04-Июн-09 21:52

Господа помогите реализовать схему когда необходимо обеспечить трансляцию почтового адреса сервера mail.company.com на NAT в адрес, проброшенный на внутренний адрес почтового сервера в локальной сети.
И обратную схему, когда письмо уходило бы от почтового сервера mail.company.com  и удаленный SMTP сервер видел что с ним соединился IP-адрес (внешний) закрепленный за почтовым сервером mail.company.com.
Техника шлюз openbsd,  pf.conf
Имеем в сети 1 BSD шлюз и 2 виндовых почтовика.
Адреса для внешнего соединения:
mail.company.ru    - 222.222.222.2
mail.company.com - 222.222.222.3
Внешний интерфейс шлюза имеет адреса:  IP: 222.222.222.2/29 и alias 222.222.222.3/29
Внутренний интерфейс: 10.10.10.1/24
1.внутренний mail сервер: mail.company.ru: IP 10.10.10.2
2.внутренний mail сервер: mail.company.com: IP 10.10.10.3
Конфиг: pf.conf
ext_if=dc1
int_if=dc2
nat on $ext_if from !($ext_if) -> ($ext_if:0)
rdr pass on $ext_if proto tcp from any to 222.222.222.3 port 25  -> 10.10.10.2
rdr pass on $ext_if proto tcp from any to 222.222.222.3 port 25  -> 10.10.10.3
pass in on $int_if inet proto tcp from 10.10.10.2  to any port 25 keep state
pass in on $int_if inet proto tcp from 10.10.10.2  to any port 25 keep state
при такой схеме почта на прием серверами работает на ура, проброс работает корректно, потовые сервера принимают замечательно письма.
Но на отправку от mail.company.ru и mail.company.com принимающие от меня почтовики думают что почта идет от адреса 222.222.222.2.
Нужно реализовать схему, так чтобы почта с сервера mail.company.com отдавалась через другой IP адрес 222.222.222.3. (этот IPадрес прописан алиасом на сетевой карте шлюза). К чему посоветуете прибегнуть? IP спуфинг не получилось реализовать..

Содержание

Транляция на NAT проброшенного адреса из внутренней сети,reader, 01:49 , 05-Июн-09
- Транляция на NAT проброшенного адреса из внутренней сети,enno, 08:27 , 05-Июн-09

Сообщения в этом обсуждении

"Транляция на NAT проброшенного адреса из внутренней сети"
Отправлено reader , 05-Июн-09 01:49

>[оверквотинг удален]
>Внутренний интерфейс: 10.10.10.1/24
>
>1.внутренний mail сервер: mail.company.ru: IP 10.10.10.2
>2.внутренний mail сервер: mail.company.com: IP 10.10.10.3
>
>Конфиг: pf.conf
>ext_if=dc1
>int_if=dc2
>
>nat on $ext_if from !($ext_if) -> ($ext_if:0)
ext_if:0 это наверно 222.222.222.2, поэтому все исходящие идут с 222.222.222.2, выше него еще один nat сделайте только с 222.222.222.3 и указанием для каких пакетов.

>[оверквотинг удален]
>port 25 keep state
>
>при такой схеме почта на прием серверами работает на ура, проброс работает
>корректно, потовые сервера принимают замечательно письма.
>Но на отправку от mail.company.ru и mail.company.com принимающие от меня почтовики думают
>что почта идет от адреса 222.222.222.2.
>
>Нужно реализовать схему, так чтобы почта с сервера mail.company.com отдавалась через другой
>IP адрес 222.222.222.3. (этот IPадрес прописан алиасом на сетевой карте шлюза).
>К чему посоветуете прибегнуть? IP спуфинг не получилось реализовать..

"Транляция на NAT проброшенного адреса из внутренней сети"
Отправлено enno , 05-Июн-09 08:27

ext_if:0 это наверно 222.222.222.2, поэтому все исходящие идут с 222.222.222.2, выше него еще один nat сделайте только с 222.222.222.3 и указанием для каких пакетов.
Спасибо помогло...
Поместил это правило в списке nat - самым первым.
Получилось следующее:
#самое первое правило
nat on $ext_if from 10.10.10.15 to any -> 222.222.222.3