URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 680
[ Назад ]

Исходное сообщение
"Перенаправление исходящего трафика от почтового сервера"

Отправлено xev , 10-Апр-13 11:54 
Здравствуйте!
Имеется почтовый сервер в локальной сети
Также имеется маршрутизатор Cisco выполняющий роль шлюза в этой сети
На маршрутизаторе имеется 2 интерфейса : первый - основной для выхода в интернет, loopback - для почты.
Чтобы почта доставлялась до нашего сервера сделан статический нат с loopback на внутренний адрес почтового сервера, все ок.

Проблема в следующем
Как перенаправить на этот loopback и исходящий трафик чтобы и получилаи мы почту и отправляли с одного адреса
Сейчас почта получается через loopback а уходит через интерфейс для инет
Спасибо все заранее.


Содержание

Сообщения в этом обсуждении
"Перенаправление исходящего трафика от почтового сервера"
Отправлено GolDi , 10-Апр-13 12:12 
>[оверквотинг удален]
> Также имеется маршрутизатор Cisco выполняющий роль шлюза в этой сети
> На маршрутизаторе имеется 2 интерфейса : первый - основной для выхода в
> интернет, loopback - для почты.
> Чтобы почта доставлялась до нашего сервера сделан статический нат с loopback на
> внутренний адрес почтового сервера, все ок.
> Проблема в следующем
> Как перенаправить на этот loopback и исходящий трафик чтобы и получилаи мы
> почту и отправляли с одного адреса
> Сейчас почта получается через loopback а уходит через интерфейс для инет
> Спасибо все заранее.

конфиг ппокажите


"Перенаправление исходящего трафика от почтового сервера"
Отправлено xev , 10-Апр-13 12:22 
>[оверквотинг удален]
>> На маршрутизаторе имеется 2 интерфейса : первый - основной для выхода в
>> интернет, loopback - для почты.
>> Чтобы почта доставлялась до нашего сервера сделан статический нат с loopback на
>> внутренний адрес почтового сервера, все ок.
>> Проблема в следующем
>> Как перенаправить на этот loopback и исходящий трафик чтобы и получилаи мы
>> почту и отправляли с одного адреса
>> Сейчас почта получается через loopback а уходит через интерфейс для инет
>> Спасибо все заранее.
> конфиг ппокажите

1.1.1.1 - внешний адрес для почты (loopback10)
2.2.2.2 - внутренний адрес почтового сервера
interface Loopback10
ip address x.x.x.x 255.255.255.248 secondary
ip address x.x.x.x 255.255.255.248 secondary
ip address x.x.x.x 255.255.255.248 secondary
ip address 1.1.1.1 255.255.255.248 - тот самый интерфес через который получаем почту
ip nat outside
ip virtual-reassembly
ip route-cache flow

ip nat inside source static tcp 2.2.2.2 25 1.1.1.1 25 extendable - пробрасывем почту наружу

ip nat inside source route-map ROUTE-MAP-LIST interface FastEthernet0/1 overload - интернет


в ROUTE-MAP-LIST имеется ACL

permit ip host x.x.x.x any
permit ip host x.x.x.x any
permit ip host x.x.x.x any
permit ip host x.x.x.x any
permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так как на нем еще и крутится прокси(


"Перенаправление исходящего трафика от почтового сервера"
Отправлено GolDi , 10-Апр-13 12:29 
>[оверквотинг удален]
> ip nat inside source static tcp 2.2.2.2 25 1.1.1.1 25 extendable -
> пробрасывем почту наружу
> ip nat inside source route-map ROUTE-MAP-LIST interface FastEthernet0/1 overload - интернет
> в ROUTE-MAP-LIST имеется ACL
>  permit ip host x.x.x.x any
>  permit ip host x.x.x.x any
>  permit ip host x.x.x.x any
>  permit ip host x.x.x.x any
>  permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так
> как на нем еще и крутится прокси(

а зачем такой изврат через loopback?


"Перенаправление исходящего трафика от почтового сервера"
Отправлено xev , 10-Апр-13 12:33 
>[оверквотинг удален]
>> пробрасывем почту наружу
>> ip nat inside source route-map ROUTE-MAP-LIST interface FastEthernet0/1 overload - интернет
>> в ROUTE-MAP-LIST имеется ACL
>>  permit ip host x.x.x.x any
>>  permit ip host x.x.x.x any
>>  permit ip host x.x.x.x any
>>  permit ip host x.x.x.x any
>>  permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так
>> как на нем еще и крутится прокси(
> а зачем такой изврат через loopback?

ну интерфейс смотрящий в интернет всего один,
на нем висит адрес для итнрнета, мне же нужно разделить эти 2 потока, инача попаду в спам лист быстро
ну я и поднял второй в виде loopback
подскажите если есть другой способ


"Перенаправление исходящего трафика от почтового сервера"
Отправлено AlexDv , 10-Апр-13 12:39 
>[оверквотинг удален]
>>>  permit ip host x.x.x.x any
>>>  permit ip host x.x.x.x any
>>>  permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так
>>> как на нем еще и крутится прокси(
>> а зачем такой изврат через loopback?
> ну интерфейс смотрящий в интернет всего один,
> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
> потока, инача попаду в спам лист быстро
> ну я и поднял второй в виде loopback
> подскажите если есть другой способ

В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса :)



"Перенаправление исходящего трафика от почтового сервера"
Отправлено xev , 10-Апр-13 12:41 
>[оверквотинг удален]
>>>>  permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так
>>>> как на нем еще и крутится прокси(
>>> а зачем такой изврат через loopback?
>> ну интерфейс смотрящий в интернет всего один,
>> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
>> потока, инача попаду в спам лист быстро
>> ну я и поднял второй в виде loopback
>> подскажите если есть другой способ
> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
> :)

ну вот я тоже так думал

оказалось что если адрес на который почта приходит разница с адресом с которого уходит, попадаешь в спам лист, проверено.


"Перенаправление исходящего трафика от почтового сервера"
Отправлено GolDi , 10-Апр-13 12:44 
>[оверквотинг удален]
>>> ну интерфейс смотрящий в интернет всего один,
>>> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
>>> потока, инача попаду в спам лист быстро
>>> ну я и поднял второй в виде loopback
>>> подскажите если есть другой способ
>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>> :)
> ну вот я тоже так думал
> оказалось что если адрес на который почта приходит разница с адресом с
> которого уходит, попадаешь в спам лист, проверено.

внешних ip у вас сколько?
повесте второй ip  как secondary  на внешний интерфейс (может и не надо даже), и создайте правило
nat  на почтовый сервер


"Перенаправление исходящего трафика от почтового сервера"
Отправлено xev , 10-Апр-13 12:50 
>[оверквотинг удален]
>>>> подскажите если есть другой способ
>>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>>> :)
>> ну вот я тоже так думал
>> оказалось что если адрес на который почта приходит разница с адресом с
>> которого уходит, попадаешь в спам лист, проверено.
> внешних ip у вас сколько?
> повесте второй ip  как secondary  на внешний интерфейс (может и
> не надо даже), и создайте правило
> nat  на почтовый сервер

внешних ip зарезервированных за нами у нас много
на loopbacke также висят адреса для web и vpn
Ну можно и повесить как secondary только какая разница...
NAT же есть
ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable

но почему то почта уходит все равно через адрес интернета а не через статический нат...


"Перенаправление исходящего трафика от почтового сервера"
Отправлено GolDi , 10-Апр-13 13:27 
>[оверквотинг удален]
>> повесте второй ip  как secondary  на внешний интерфейс (может и
>> не надо даже), и создайте правило
>> nat  на почтовый сервер
> внешних ip зарезервированных за нами у нас много
> на loopbacke также висят адреса для web и vpn
> Ну можно и повесить как secondary только какая разница...
> NAT же есть
> ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable
> но почему то почта уходит все равно через адрес интернета а не
> через статический нат...

а если прописать статичесую трансляцию без указания портов?


"Перенаправление исходящего трафика от почтового сервера"
Отправлено xev , 10-Апр-13 13:39 
>[оверквотинг удален]
>>> не надо даже), и создайте правило
>>> nat  на почтовый сервер
>> внешних ip зарезервированных за нами у нас много
>> на loopbacke также висят адреса для web и vpn
>> Ну можно и повесить как secondary только какая разница...
>> NAT же есть
>> ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable
>> но почему то почта уходит все равно через адрес интернета а не
>> через статический нат...
> а если прописать статичесую трансляцию без указания портов?

попробовал, произошла странная вещь, получилось что теперь весь трафик ушел через внешний почтовый интерфейс loopback, включая и почту.


"Перенаправление исходящего трафика от почтового сервера"
Отправлено GolDi , 10-Апр-13 13:51 
>[оверквотинг удален]
>>> внешних ip зарезервированных за нами у нас много
>>> на loopbacke также висят адреса для web и vpn
>>> Ну можно и повесить как secondary только какая разница...
>>> NAT же есть
>>> ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable
>>> но почему то почта уходит все равно через адрес интернета а не
>>> через статический нат...
>> а если прописать статичесую трансляцию без указания портов?
> попробовал, произошла странная вещь, получилось что теперь весь трафик ушел через внешний
> почтовый интерфейс loopback, включая и почту.

навеоно есть route-map на loopback


"Перенаправление исходящего трафика от почтового сервера"
Отправлено Andrey , 10-Апр-13 15:05 
>[оверквотинг удален]
>>> внешних ip зарезервированных за нами у нас много
>>> на loopbacke также висят адреса для web и vpn
>>> Ну можно и повесить как secondary только какая разница...
>>> NAT же есть
>>> ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable
>>> но почему то почта уходит все равно через адрес интернета а не
>>> через статический нат...
>> а если прописать статичесую трансляцию без указания портов?
> попробовал, произошла странная вещь, получилось что теперь весь трафик ушел через внешний
> почтовый интерфейс loopback, включая и почту.

Попробуйте такую конструкцию:

! NAT для выходящего трафика.
ip nat pool Users a.b.c.d a.b.c.d netmask 255.255.255.248
ip nat pool Mail a.b.c.e a.b.c.e netmask 255.255.255.248
ip nat inside source list Users-ACL pool Users overload
ip nat inside source lost Mail-Server pool Mail overload
! NAT для входящего трафика на почтовый сервер
ip nat inside source static tcp IP.MAIL.SER.VER 25 a.b.c.e 25

! ACL для разных пулов NAT трансляций
ip access-list extended Users-ACL
deny tcp host IP.MAIL.SER.VER any eq 25
permit any any
ip access-list extended Mail-Server
permit tcp host IP.MAIL.SER.VER any eq 25

И никаких PBR. Использование Loopback тоже отсутствует.


"Перенаправление исходящего трафика от почтового сервера"
Отправлено xev , 11-Апр-13 07:09 
>[оверквотинг удален]
> ip nat inside source lost Mail-Server pool Mail overload
> ! NAT для входящего трафика на почтовый сервер
> ip nat inside source static tcp IP.MAIL.SER.VER 25 a.b.c.e 25
> ! ACL для разных пулов NAT трансляций
> ip access-list extended Users-ACL
>  deny tcp host IP.MAIL.SER.VER any eq 25
>  permit any any
> ip access-list extended Mail-Server
>  permit tcp host IP.MAIL.SER.VER any eq 25
> И никаких PBR. Использование Loopback тоже отсутствует.

Да, все логично и должно работать!

Я делал такой список доступа для роут-мапа
ip access-list extended Mail-Server
permit tcp host IP.MAIL.SER.VER any eq 25

почему то в нем нет совпадении!!


"Перенаправление исходящего трафика от почтового сервера"
Отправлено Andrey , 11-Апр-13 08:39 
>[оверквотинг удален]
>>  deny tcp host IP.MAIL.SER.VER any eq 25
>>  permit any any
>> ip access-list extended Mail-Server
>>  permit tcp host IP.MAIL.SER.VER any eq 25
>> И никаких PBR. Использование Loopback тоже отсутствует.
> Да, все логично и должно работать!
> Я делал такой список доступа для роут-мапа
> ip access-list extended Mail-Server
> permit tcp host IP.MAIL.SER.VER any eq 25
> почему то в нем нет совпадении!!

А весь остальной трафик как обрабатывается? Покажите текущую конфигурацию.
Зачем вам роут-мап? У вас один канал, один маршрутизатор. У вас по ТЗ нет других маршрутизаторов и выходов через другие каналы связи. Избавляйтесь от роут-мапов, это сильно грузит процессор маршрутизатора.


"Перенаправление исходящего трафика от почтового сервера"
Отправлено xev , 11-Апр-13 09:44 
>[оверквотинг удален]
>>> И никаких PBR. Использование Loopback тоже отсутствует.
>> Да, все логично и должно работать!
>> Я делал такой список доступа для роут-мапа
>> ip access-list extended Mail-Server
>> permit tcp host IP.MAIL.SER.VER any eq 25
>> почему то в нем нет совпадении!!
> А весь остальной трафик как обрабатывается? Покажите текущую конфигурацию.
> Зачем вам роут-мап? У вас один канал, один маршрутизатор. У вас по
> ТЗ нет других маршрутизаторов и выходов через другие каналы связи. Избавляйтесь
> от роут-мапов, это сильно грузит процессор маршрутизатора.

Проблему решил с помощью роут-мапа на loopback
не работало потому что составил ACL не верно
я делал так
permit tcp host IP.MAIL.SER.VER eq 25 any
а надо
permit tcp host IP.MAIL.SER.VER any eq 25

Возможно вы и правы что проблему можно решить и без роут-мапа, но дело в том что адрес смотрящий в интернет и адрес для почты совершенно разные, то есть разные включая подсеть, вот я не знаю ваш пример заработает в таком случае.


"Перенаправление исходящего трафика от почтового сервера"
Отправлено AlexDv , 10-Апр-13 14:11 
>[оверквотинг удален]
>>> ну интерфейс смотрящий в интернет всего один,
>>> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
>>> потока, инача попаду в спам лист быстро
>>> ну я и поднял второй в виде loopback
>>> подскажите если есть другой способ
>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>> :)
> ну вот я тоже так думал
> оказалось что если адрес на который почта приходит разница с адресом с
> которого уходит, попадаешь в спам лист, проверено.

Это не спам-лист, а spf-check. Пропишите нужным ip разрешения на отправку почты.


"Перенаправление исходящего трафика от почтового сервера"
Отправлено xev , 11-Апр-13 06:51 
>[оверквотинг удален]
>>>> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
>>>> потока, инача попаду в спам лист быстро
>>>> ну я и поднял второй в виде loopback
>>>> подскажите если есть другой способ
>>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>>> :)
>> ну вот я тоже так думал
>> оказалось что если адрес на который почта приходит разница с адресом с
>> которого уходит, попадаешь в спам лист, проверено.
> Это не спам-лист, а spf-check. Пропишите нужным ip разрешения на отправку почты.

ну мой сервер допустим представляется mail.example.com
для него днс прописан 2.2.2.2

Вот я так понял есть спам-фильтры которые проверяют это доменное имя, и адрес c которого им пришла почта не совпадает с адресом mail.example.com


"Перенаправление исходящего трафика от почтового сервера"
Отправлено AlexDv , 11-Апр-13 13:39 
>[оверквотинг удален]
>>>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>>>> :)
>>> ну вот я тоже так думал
>>> оказалось что если адрес на который почта приходит разница с адресом с
>>> которого уходит, попадаешь в спам лист, проверено.
>> Это не спам-лист, а spf-check. Пропишите нужным ip разрешения на отправку почты.
> ну мой сервер допустим представляется mail.example.com
> для него днс прописан 2.2.2.2
> Вот я так понял есть спам-фильтры которые проверяют это доменное имя, и
> адрес c которого им пришла почта не совпадает с адресом mail.example.com

Это и есть SPF - sender policy framework. Пропишите в dns те ip, с которых будет отправляться почта.