The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Шлюз + Почтовый сервер = форвардинг"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Шлюз + Почтовый сервер = форвардинг"  
Сообщение от Aramaki email on 25-Дек-06, 15:01 
Есть корпоративный шлюз (bastillie) - один интерфейс со статическим IP (xxx) на внешку, другой 192.168.1.1 на DMZ через свич - везде открыт только SSH

Есть почтовый сервер с адресом 192.168.1.2 через свич и 192.168.0.204 через хаб (локалка).

Ещё в DMZ стоит прокся которая для сети 192.168.0.x прописана как default gateway, в локалке ещё файловый и DNS сервер.

У почтового сервера есть отдельный домен, привязанный к статическому IP (yyy)
Этот адрес yyy привязан к Шлюзу как дополнительный адрес к интерфейсу с адресом xxx.
Включен форвардинг  по запросу на xxx:25 переслать на 192.168.1.2
С самого шлюза 192.168.1.2 пингуется и telnet нормальною
Снаружи адрес yyy пингуется, но telnet yyy 25 вылетает по таймауту, то есть нет ответа.

При этом на шлюза пакеты исправно пересылаются
Dec 25 14:25:14 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=25223 DF PROTO=TCP SPT=58386 DPT=25 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1ACD9EC30000000001030300)

Однако на почтовом сервере только следующее
Dec 25 14:27:00 mail kernel: SFW2-INdmz-ACC-TCP IN=eth1 OUT= MAC=00:0c:76:14:00:28:00:0c:76:14:00:4f:08:00 SRC=192.168.1.24 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54873 DF PROTO=TCP SPT=27004 DPT=6666 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A4E4B745B0000000001030302)

Если ставлю переадресацию с xxx:25 на 192.168.1.2 то на шлюзе
Dec 25 14:34:54 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=591 DF PROTO=TCP SPT=59268 DPT=25 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1ACE810C0000000001030300)

а на почте по прежнему
Dec 25 14:36:10 mail kernel: SFW2-INdmz-ACC-TCP IN=eth1 OUT= MAC=00:0c:76:14:00:28:00:0c:76:14:00:4f:08:00 SRC=192.168.1.24 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=11197 DF PROTO=TCP SPT=9703 DPT=6666 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A4E53D9570000000001030302)

Везде стоит SuSE Linux от 9.1 до 10.1 (почта)

Порт http тоже не форвардится никаким образом :(

Похоже это вообще какой-то косяк причем даже не с файерволом, т.к. для тест ставлю форвардинг xxx:221 на 192.168.1.24:22 (прокся) и все пашет
Шлюз нормально пересылает
Dec 25 14:55:27 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.24 LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=15562 DF PROTO=TCP SPT=35427 DPT=22 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1AD062E90000000001030300)
Прокся нормально принимает

Пробовал выключать файер на почтовом - никакой разницы, ни ssh, ни smtp не пашут.

Уже блин и так и сяк - не могу найти косяк :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от _KAV_ (ok) on 25-Дек-06, 15:19 
Iptables Tutorial, описание действия DNAT, замечания по этому поводу...
А для начала - не тестируй проброску в локалку изнутри локалки, тестируй с внешнего ip.
Потом вытянешь full dnat
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от Aramaki email(ok) on 25-Дек-06, 15:30 
>Iptables Tutorial, описание действия DNAT, замечания по этому поводу...
>А для начала - не тестируй проброску в локалку изнутри локалки, тестируй
>с внешнего ip.
>Потом вытянешь full dnat

Не могли бы вы расшифровать первуюи последнюю строчку своего послания?

Разумеется я тестирую с внешнего IP. Возможно я не совсем ясно выразился. Просто хотел показать что из интернета шлюз коннектится, со шлюза на почтовый коннектится, а из Интернета на почтовый никак.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от _KAV_ (ok) on 25-Дек-06, 15:46 
>Не могли бы вы расшифровать первуюи последнюю строчку своего послания?
Есть такая хорошая работа Оскара Андерссона, здесь на сайте есть в оригинале и в переводе Киселева (очень достойном). То, что интересует - подробно расписано в разделе про DNAT, с примерами и описанием тонкостей. Смысл мне пересказывать эти пару-тройку абзацев или делать copy-paste? Все равно лучше не скажу... А вот если после этого возникнут затыки - можно поговорить.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от Aramaki email(??) on 25-Дек-06, 16:08 
Спасибо, посмотрю. Вот только не уверен что дело в NAT.

Из интернета запрос шлюз:221 форвардится на прокся:22 - тот нормально отвечает
Dec 25 15:43:44 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.2  LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=21879 DF PROTO=TCP SPT=45270 DPT=22 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1AD4CE6D0000000001030300)

Из интернета запрос шлюз:10222 форвардится на почта:22 - нет ответа
Dec 25 15:44:17 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.24 LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=56451 DF PROTO=TCP SPT=45480 DPT=22 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1AD4DB390000000001030300)

Отключение файервола на почтовике не помогает.

Определенно дело не в шлюзе и возможно даже не в маскарадинге с форвардингом вообще.

Почему теряется ответ почтовика? При этом на проксе все отлично. Не знаю в какую сторону грести...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от _KAV_ (ok) on 25-Дек-06, 17:59 
iptables -L -v
iptables -t nat -L -v
route

на каждой из машин - шлюзе, почтовике, той машины, с которой проверяется

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от Aramaki email(??) on 27-Дек-06, 13:53 
ковырялся и вдруг заработал telnet из инета на почта:25.
временно отключил маскарадинг на шлюзе, чтобы перед запуском все в последний раз проверить перед запуском - потом включил и опять не пашет :(

т.е. в принципе работать должно.
стал подробнее разглядывать логи и нашёл следующее

/var/log/warn:Dec 27 13:47:31 mail kernel: martian source 192.168.1.2 from xx.xx.xx.xx, on dev eth1
/var/log/warn:Dec 27 13:47:34 mail kernel: martian source 192.168.1.2 from xx.xx.xx.xx, on dev eth1

192.168.1.2 это внутренний интерфейс шлюза
xx.xx.xx.xx это сервак в инете с которого я тестирую.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от Alex_hha on 25-Дек-06, 17:42 
Нарисуйте схему, так очень тяжело понять.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от Aramaki email(ok) on 25-Дек-06, 18:01 
нарисовал
http://aramaki.narod.ru/scheme.gif
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от Alex_hha on 25-Дек-06, 18:24 
>нарисовал
>http://aramaki.narod.ru/scheme.gif
у меня не показывает
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Шлюз + Почтовый сервер = форвардинг"  
Сообщение от Aramaki email(??) on 27-Дек-06, 13:54 
схема не суть важно
может режется как реклама?
картинка лежит
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру