форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Sendmail, gateway и iptables!! Не для слабонервных!!!"
Сообщение от Russian on 10-Сен-03, 17:00  (MSK)
-----------------                          --------------------                                       ! firewall 1     !                         !  firewall 2     !                                       !                !                         !     !                --------------                  -------------------------               ------------local network internet   212.95.109.242    10.11.12.1                10.11.12.15         192.168.4.1                                 !                !                         !                  !                                       !                !                         !                  !                                       !                !                         !     !                                      !                !                         !                  !                                       !----------------                          -------------------                           Народ! Подскажите, pls, мозги кипят уже , не могу найти решение тривиальнейшей проблемы. Вот схема подключения к интернету(надеюсь передалась без искажений) Описание : машина Firewall 1 -внешний интерфейс 212.95.109.242(подключен к интернету) -внутренний интерфейс 10.11.12.1                 машина Firewall 2 -внешний интерфейс  10.11.12.13(в одной сети с внурт. инт. FIREWALL1) --внутренний интерфейс 192.168.4.1(подключен к локальной сети)      . Все работает, все ОК. В локальную сеть подключается Linux машина с адресом 192.168.4.139(далее ..139). Задача смешна до безобразия: передавать почту с машины..139 намашину firewall 2. Посмеялись, теперь послушайте: Для  ..139 машина firewall 2 является также gateway-ем в интернет,значит в ее настройках gateway по умолчанию 192.168.4.1 Интернет на машине ..139 работает без проблем. Сама проблема: Когда sendmail с машины ..139 пытается передать почту на firewall 2, DNS из интернета сообщает ему внешний адрес 212.95.109.242(что и правильно, почта на firewall 2 ИЗ ИНТЕРНЕТА доходит нормально), так как firewall 1 настроен передавать все запросы из Интернета по почте на машину Firewall 2. Но из внутренней сети такое не прокатывает и почту передать невозможно(ошибка : Connection time out with firewall 2). Пытаюсь сделать автоматическую замену адреса  212.95.109.242 на 192.168.4.1 во всех пакетах исходящих с ..139 путем: iptables -t nat -A OUTPUT -d 212.95.109.242 -j DNAT --to-destination 192.168.4.1 Получается: ..139 соединяется с  firewall2 при передаче почты , о чем в логах firewall 2 остается запись: NOQUEUE:[192.168.4.139] did not issue MAIL/EXPN/VRFY during connection to MTA а в логах самого ..139 остается такая ругань: SYSERR(root):FIREWALL2 CONFIG ERROR: MAIL LOOPS BACK TO ME (MX PROBLEM?) Как же все-таки заставить ее(139) молча посылать письма на firewall 2 и чтобы ОНИ ПРИХОДИЛИ??????????????????????????????????????????
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Sendmail, gateway и iptables!! Не для слабонервных!!!"
Сообщение от Russian on 10-Сен-03, 17:06  (MSK)
>Народ! Подскажите, pls, мозги кипят уже , не могу найти решение тривиальнейшей >проблемы. >Вот схема подключения к интернету(надеюсь передалась без искажений) >Описание : машина Firewall 1 >-внешний интерфейс 212.95.109.242(подключен к интернету) >-внутренний интерфейс 10.11.12.1 >машина Firewall 2 >-внешний интерфейс  10.11.12.13(в одной сети с внурт. инт. FIREWALL1) Вы конечно же поняли, я опечатался, не 10.11.12.13 а 10.11.12.15, sorry
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Sendmail, gateway и iptables!! Не для слабонервных!!!"
Сообщение от Mikhail on 10-Сен-03, 17:11  (MSK)
А в сети 192.168.4.0/24 есть свой ДНС? Тогда все банально. Если нет - тогда хуже.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Sendmail, gateway и iptables!! Не для слабонервных!!!"
	Сообщение от Russian on 10-Сен-03, 17:55  (MSK)
	>А в сети 192.168.4.0/24 есть свой ДНС? Нет ,в сети 192.168.4. нет ДНС, мы пользуемся ДНС провайдера, который находится снаружи , для нас "в интернете". МХ запись DNS у провайдера указывает на внешний адрес FIrewall 1. Может можно как-то логи детализировать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Sendmail, gateway и iptables!! Не для слабонервных!!!"
	Сообщение от Mikhail on 10-Сен-03, 18:10  (MSK)
	Мне кажется, правильный (штатный) путь - завести и настроить свой ДНС, там прописАть mx-запись, указывающую на 192.168.4.1. Плюсы - еще и независимость от провайдера, кеширование и т.п. Другие варианты, конечно, есть... Может, хотя бы разобраться с  'Connection time out with firewall 2'? Если просто правильно прокидывать пакеты, почта должна проходить 'как бы снаружи'. Вот эти настройки проверь, почему соединение не устанавливается?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Sendmail, gateway и iptables!! Не для слабонервных!!!"
	Сообщение от Russian on 10-Сен-03, 18:36  (MSK)
	>Может, хотя бы разобраться с  'Connection time out with firewall 2'? Я думаю, что как раз тут все ясно. ДНС из интернета дает внешний адрес Firewall1 , пакет с этим адресом поступает на FIREwall2 ИЗ ВНУТРЕННЕЙ СЕТИ. Он передается дальше на Firewall 1 и отбрасывается им как неправильный (т.к. поступил с внешним адресом на внутренний интерфейс).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Sendmail, gateway и iptables!! Не для слабонервных!!!"
	Сообщение от Mikhail on 10-Сен-03, 18:46  (MSK)
	При правильно настроенном NATе пакет, идущий от  192.168.4.х на 212.95.109.242, на firewall 2 переписывается как source=10.11.12.15 dest=212.95.109.242 и проходит на firewall 1; там, в свою очередь, переписывается на source=212.95.109.242 dest=212.95.109.242 - т.е. выглядит как обычный запрос из интернета. Если ' firewall 1 настроен передавать все запросы из Интернета по почте на машину Firewall 2' - то так и должно произойти, независимо от source-адреса. Если же 'Connection time out with firewall 2' - значит, где-то что-то не совсем так, один из firewall'ов не пропускает, с этим и разбирайся.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Sendmail, gateway и iptables!! Не для слабонервных!!!"
	Сообщение от Russian on 11-Сен-03, 11:01  (MSK)
	Может вот в чем дело: если все происходит так как ты написал и в итоге Firewall1 передаст назад запрос на прием почты с адресом источника=адресу приемника =внешнему адресу Firewall1, то как Firewall2 узнает, что отвечать надо по адресу 192.168.4.1 ?? Нет , должен быть другой сопособ передачи почты напрямую, без этого кидания пакетов туда-сюда, сквозь принимающую машину.. Будем копать..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Sendmail, gateway и iptables!! Не для слабонервных!!!"
	Сообщение от Mikhail on 11-Сен-03, 12:22  (MSK)
	>Может вот в чем дело: >если все происходит так как ты написал и в итоге Firewall1 передаст >назад запрос на прием почты с адресом источника=адресу приемника =внешнему адресу >Firewall1, то как Firewall2 узнает, что отвечать надо по адресу 192.168.4.1 >?? Ну, эта... Man iptables... Ответ пойдет обратным путем. >Нет , должен быть другой сопособ передачи почты напрямую, без этого кидания >пакетов туда-сюда, сквозь принимающую машину.. >Будем копать.. Я же говорю: более правильный путь - отправлять напрямую, т.е. или указать в клиенте ip-адрес (192.168.4.1) smtp-сервера для отправки, либо средствами ДНС. А так вообще непонятно - кто держит ДНС для зоны 192.168.4.х? Конечно, не очень обязательно, но неудобно как-то. И от провайдера зависимость остается.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Sendmail, gateway и iptables!! Не для слабонервных!!!"
	Сообщение от Serp on 28-Сен-03, 00:16  (MSK)
	может покопать sendmail и прописать ему Firewall2 с его IP? У меня так работает без всяких днсов...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.