URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1980
[ Назад ]

Исходное сообщение
"Почта через NAT"

Отправлено garmon , 19-Мрт-05 14:02 
Здравствуйте!
Имею сервак на REDHAT 9
Необходимо организовать доставку почты на локальные компьютеры в сети. Нет времени завморачиваться на майлсервер. Можно ли открыть NAT'том 110 и 25 порты на определенные ip (MAC)? Если можно, то как? Рекомендуете ли вы так делать? Чем это мне может грозить. Не хотелось бы просто видеть ответы, что это брешь в безопасности в системе или большая дыра? Хотелось бы конкретики! Спасибо!

Содержание

Сообщения в этом обсуждении
"Почта через NAT"
Отправлено _KAV_ , 19-Мрт-05 14:50 
1 - поставить нат
2 - разрешить натиться 25 и 110 порту из внутренней сетки наружу и принимать ответные
3 - на input и forward по 100 порту с наружного интерфейса должно стоять reject, а не drop


"Почта через NAT"
Отправлено garmon , 21-Мрт-05 10:19 
>1 - поставить нат
>2 - разрешить натиться 25 и 110 порту из внутренней сетки наружу
>и принимать ответные
>3 - на input и forward по 100 порту с наружного интерфейса
>должно стоять reject, а не drop
Спасибо за ответ, но я все это знаю :) Просто мозгов не хватает как прописать эти правила!

"Почта через NAT"
Отправлено _KAV_ , 21-Мрт-05 11:36 
>Спасибо за ответ, но я все это знаю :) Просто мозгов не
>хватает как прописать эти правила!
А я вот не знаю... не знаю, например, каким файрволом Вы пользуетесь - чистыми iptables или надстройками типа shorewall или чем другим... Ж8-)
P.S. Взведение своего почтовика со всеми прописями и забором почты - 25 мин. максимум.


"Почта через NAT"
Отправлено garmon , 21-Мрт-05 17:12 
>>Спасибо за ответ, но я все это знаю :) Просто мозгов не
>>хватает как прописать эти правила!
>А я вот не знаю... не знаю, например, каким файрволом Вы пользуетесь
>- чистыми iptables или надстройками типа shorewall или чем другим... Ж8-)
>
>P.S. Взведение своего почтовика со всеми прописями и забором почты - 25
>мин. максимум.

iptables
У меня пока не хватает квалификации чтобы это сделать. Вот и хочу пока настроить NAT, а самому разобраться с почтовиком.


"Почта через NAT"
Отправлено _KAV_ , 21-Мрт-05 20:02 
>У меня пока не хватает квалификации чтобы это сделать. Вот и хочу
>пока настроить NAT, а самому разобраться с почтовиком.
Вот кусок моего скрипта, который отвечает за это..
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT  --in-interface $LOOPBACK_INTERFACE  -j ACCEPT
    iptables -A POSTROUTING -t nat --out-interface $EXTERNAL_INTERFACE -j SNAT --to-source $IPADDR
  iptables -A INPUT  --in-interface $EXTERNAL_INTERFACE --protocol tcp \
             --destination $IPADDR --destination-port 110 -j REJECT

Но вообще-то в этом скрипте еще мноооого чего нужно написать... См. Iptables Tutorial на этом сайте


"Почта через NAT"
Отправлено satelit , 31-Мрт-05 12:30 
Народ, не знаю что у вас за нат такой, что к нему еще и настройки почты прикручивать надо, у меня в iptables делается нат одной строкой правил iptables, и через него ходят все протоколы (http, pop, smtp, irc, icq, и даже CS и виндовый терминальный клиент) без каких либо дополнительных настроек.

"Почта через NAT"
Отправлено _KAV_ , 03-Апр-05 15:43 
политика безопасности, сэр