форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Шлюз + Почтовый сервер = форвардинг"

Сообщение от Aramaki on 25-Дек-06, 15:01

Есть корпоративный шлюз (bastillie) - один интерфейс со статическим IP (xxx) на внешку, другой 192.168.1.1 на DMZ через свич - везде открыт только SSH Есть почтовый сервер с адресом 192.168.1.2 через свич и 192.168.0.204 через хаб (локалка). Ещё в DMZ стоит прокся которая для сети 192.168.0.x прописана как default gateway, в локалке ещё файловый и DNS сервер. У почтового сервера есть отдельный домен, привязанный к статическому IP (yyy) Этот адрес yyy привязан к Шлюзу как дополнительный адрес к интерфейсу с адресом xxx. Включен форвардинг  по запросу на xxx:25 переслать на 192.168.1.2 С самого шлюза 192.168.1.2 пингуется и telnet нормальною Снаружи адрес yyy пингуется, но telnet yyy 25 вылетает по таймауту, то есть нет ответа. При этом на шлюза пакеты исправно пересылаются Dec 25 14:25:14 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=25223 DF PROTO=TCP SPT=58386 DPT=25 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1ACD9EC30000000001030300) Однако на почтовом сервере только следующее Dec 25 14:27:00 mail kernel: SFW2-INdmz-ACC-TCP IN=eth1 OUT= MAC=00:0c:76:14:00:28:00:0c:76:14:00:4f:08:00 SRC=192.168.1.24 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54873 DF PROTO=TCP SPT=27004 DPT=6666 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A4E4B745B0000000001030302) Если ставлю переадресацию с xxx:25 на 192.168.1.2 то на шлюзе Dec 25 14:34:54 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=591 DF PROTO=TCP SPT=59268 DPT=25 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1ACE810C0000000001030300) а на почте по прежнему Dec 25 14:36:10 mail kernel: SFW2-INdmz-ACC-TCP IN=eth1 OUT= MAC=00:0c:76:14:00:28:00:0c:76:14:00:4f:08:00 SRC=192.168.1.24 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=11197 DF PROTO=TCP SPT=9703 DPT=6666 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A4E53D9570000000001030302) Везде стоит SuSE Linux от 9.1 до 10.1 (почта) Порт http тоже не форвардится никаким образом :( Похоже это вообще какой-то косяк причем даже не с файерволом, т.к. для тест ставлю форвардинг xxx:221 на 192.168.1.24:22 (прокся) и все пашет Шлюз нормально пересылает Dec 25 14:55:27 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.24 LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=15562 DF PROTO=TCP SPT=35427 DPT=22 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1AD062E90000000001030300) Прокся нормально принимает Пробовал выключать файер на почтовом - никакой разницы, ни ssh, ни smtp не пашут. Уже блин и так и сяк - не могу найти косяк :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Шлюз + Почтовый сервер = форвардинг"

Сообщение от _KAV_ (ok) on 25-Дек-06, 15:19

Iptables Tutorial, описание действия DNAT, замечания по этому поводу... А для начала - не тестируй проброску в локалку изнутри локалки, тестируй с внешнего ip. Потом вытянешь full dnat

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Шлюз + Почтовый сервер = форвардинг"
	Сообщение от Aramaki (ok) on 25-Дек-06, 15:30
	>Iptables Tutorial, описание действия DNAT, замечания по этому поводу... >А для начала - не тестируй проброску в локалку изнутри локалки, тестируй >с внешнего ip. >Потом вытянешь full dnat Не могли бы вы расшифровать первуюи последнюю строчку своего послания? Разумеется я тестирую с внешнего IP. Возможно я не совсем ясно выразился. Просто хотел показать что из интернета шлюз коннектится, со шлюза на почтовый коннектится, а из Интернета на почтовый никак.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Шлюз + Почтовый сервер = форвардинг"
	Сообщение от _KAV_ (ok) on 25-Дек-06, 15:46
	>Не могли бы вы расшифровать первуюи последнюю строчку своего послания? Есть такая хорошая работа Оскара Андерссона, здесь на сайте есть в оригинале и в переводе Киселева (очень достойном). То, что интересует - подробно расписано в разделе про DNAT, с примерами и описанием тонкостей. Смысл мне пересказывать эти пару-тройку абзацев или делать copy-paste? Все равно лучше не скажу... А вот если после этого возникнут затыки - можно поговорить.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Шлюз + Почтовый сервер = форвардинг"
	Сообщение от Aramaki (??) on 25-Дек-06, 16:08
	Спасибо, посмотрю. Вот только не уверен что дело в NAT. Из интернета запрос шлюз:221 форвардится на прокся:22 - тот нормально отвечает Dec 25 15:43:44 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.2  LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=21879 DF PROTO=TCP SPT=45270 DPT=22 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1AD4CE6D0000000001030300) Из интернета запрос шлюз:10222 форвардится на почта:22 - нет ответа Dec 25 15:44:17 bastillie kernel: SFW2-FWDext-ACC-REVMASQ IN=eth1 OUT=eth0 SRC=89.253.241.149 DST=192.168.1.24 LEN=60 TOS=0x00 PREC=0x20 TTL=54 ID=56451 DF PROTO=TCP SPT=45480 DPT=22 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B40402080A1AD4DB390000000001030300) Отключение файервола на почтовике не помогает. Определенно дело не в шлюзе и возможно даже не в маскарадинге с форвардингом вообще. Почему теряется ответ почтовика? При этом на проксе все отлично. Не знаю в какую сторону грести...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Шлюз + Почтовый сервер = форвардинг"
	Сообщение от _KAV_ (ok) on 25-Дек-06, 17:59
	iptables -L -v iptables -t nat -L -v route на каждой из машин - шлюзе, почтовике, той машины, с которой проверяется
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Шлюз + Почтовый сервер = форвардинг"
	Сообщение от Aramaki (??) on 27-Дек-06, 13:53
	ковырялся и вдруг заработал telnet из инета на почта:25. временно отключил маскарадинг на шлюзе, чтобы перед запуском все в последний раз проверить перед запуском - потом включил и опять не пашет :( т.е. в принципе работать должно. стал подробнее разглядывать логи и нашёл следующее /var/log/warn:Dec 27 13:47:31 mail kernel: martian source 192.168.1.2 from xx.xx.xx.xx, on dev eth1 /var/log/warn:Dec 27 13:47:34 mail kernel: martian source 192.168.1.2 from xx.xx.xx.xx, on dev eth1 192.168.1.2 это внутренний интерфейс шлюза xx.xx.xx.xx это сервак в инете с которого я тестирую.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Шлюз + Почтовый сервер = форвардинг"
	Сообщение от Alex_hha on 25-Дек-06, 17:42
	Нарисуйте схему, так очень тяжело понять.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Шлюз + Почтовый сервер = форвардинг"
	Сообщение от Aramaki (ok) on 25-Дек-06, 18:01
	нарисовал http://aramaki.narod.ru/scheme.gif
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Шлюз + Почтовый сервер = форвардинг"
	Сообщение от Alex_hha on 25-Дек-06, 18:24
	>нарисовал >http://aramaki.narod.ru/scheme.gif у меня не показывает
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Шлюз + Почтовый сервер = форвардинг"
	Сообщение от Aramaki (??) on 27-Дек-06, 13:54
	схема не суть важно может режется как реклама? картинка лежит
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]