форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"FreeS/WAN and sendmail..."
Сообщение от lomo on 25-Июл-02, 17:05  (MSK)
Привет! Вот такая вот ситуевина. Поднял я туннель FreeS/WAN 1.95 (2.2.19) <-> Cisco PIX 515. Все вроде работает, но есть одно "но". На PIX(е) прописан ACL, который разрешает прохождение пакетов только с 192.168.x.0/24. Соответственно на той же Linux-машине, на готорой стоит FreeS/WAN стоит sendmail 8.12.4, который прекрасно работает. :-) Но при поднятии туннеля (в таблицу маршрутизации на Linux(е) прописывается маршрут на уделенную сеть), sendmail при попытке послать почту в удаленную сеть ясное дело обламывается, т.к. "подписывается" IP-адресом внешнего интерфейса, пакеты с которого, судя по "tcpdump -i ipsec0" уходят с билетом в один конец. Попытки маскарада, как я понимаю, заранее обречены на провал, т.к. до цепочки forward ничего не доходит, а к input и output-цепочкам маскарад не применить. Куда порекоммендуете копать? Можно ли sendmail заставить посылать почту, предназначаенную для конкретной сети/домена, через внутренний интерфейс. sendmail слушает на 0.0.0.0, т.е. на всех интерфейсах.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: FreeS/WAN and sendmail..."
Сообщение от lavr on 25-Июл-02, 18:32  (MSK)
>Привет! > >Вот такая вот ситуевина. >Поднял я туннель FreeS/WAN 1.95 (2.2.19) <-> Cisco PIX 515. >Все вроде работает, но есть одно "но". >На PIX(е) прописан ACL, который разрешает прохождение пакетов только с 192.168.x.0/24. Соответственно >на той же Linux-машине, на готорой стоит FreeS/WAN стоит sendmail 8.12.4, >который прекрасно работает. :-) > >Но при поднятии туннеля (в таблицу маршрутизации на Linux(е) прописывается маршрут на >уделенную сеть), sendmail при попытке послать почту в удаленную сеть ясное >дело обламывается, т.к. "подписывается" IP-адресом внешнего интерфейса, пакеты с которого, судя >по "tcpdump -i ipsec0" уходят с билетом в один конец. > >Попытки маскарада, как я понимаю, заранее обречены на провал, т.к. до цепочки >forward ничего не доходит, а к input и output-цепочкам маскарад не >применить. > >Куда порекоммендуете копать? Можно ли sendmail заставить посылать почту, предназначаенную для конкретной >сети/домена, через внутренний интерфейс. >sendmail слушает на 0.0.0.0, т.е. на всех интерфейсах. можно, посмотри /path/sendmail_sources/cf/README в сторону mailertable: .domain         smtp:[gateway.domain] типа: .domain smtp:[удаленный_ip] должен по идее через тунель пройти если с роутингом все ok.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: FreeS/WAN and sendmail..."
	Сообщение от lomo on 25-Июл-02, 20:47  (MSK)
	Не, mailertable тут не при чем.. Проблема решилась подстановкой в O DaemonPortOptions .. M=bh Кстати, кто бы мне сказал, где можно найти доку по этим буковкам после M. Понятно, что www.sendmail.org, а если поконкретнее :-)) У меня sendmail 8.12.4...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: FreeS/WAN and sendmail..."
	Сообщение от lomo on 26-Июл-02, 17:02  (MSK)
	Может кому-то окажется полезным... На глобальном уровне проблема решается с помощью /sbin/ip route change ... src x.x.x.x То есть все пакеты, адресованные конкретной сети через конкретный интерфейс (ipsec0) подписываются соответствующим адресом. У меня Linux 2.2.19..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.