forum.opennet.ru - "Замена ip-адреса" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Замена ip-адреса"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Замена ip-адреса"
Сообщение от JackRip (ok) on 15-Окт-08, 01:36
Привет всем. ОЧень срочно нужна ваша помощь. Ситуация следующая: есть шлюз на freebsd (2 сетевых, внешняя - 80.80.80.80, внутренняя - 192.168.1.1), есть в локалке комп с эксчендж 2007 (192.168.1.2). Ipfw. Публикую на шлюзе порты 25,110 через /etc/services и inetd. Все хорошо, почта ходит, но есть проблема - эксчендж видит все входящие с айпишником 80.80.80.80, а не их родным айпи. Соответственно, не работают проверки и ограничения на основе айпи-адресации. Как бы этого избежать?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Замена ip-адреса, JackRip, 19:41 , 15-Окт-08, (1)

Замена ip-адреса, Grey, 09:50 , 16-Окт-08, (2)

Замена ip-адреса, JackRip, 09:55 , 16-Окт-08, (3)

Замена ip-адреса, PavelR, 10:04 , 16-Окт-08, (4)

Замена ip-адреса, Rontex, 16:14 , 16-Окт-08, (5)

Замена ip-адреса, JackRip, 16:18 , 16-Окт-08, (6)

Замена ip-адреса, JackRip, 16:26 , 16-Окт-08, (7)

Замена ip-адреса, Rontex, 16:38 , 16-Окт-08, (8)

Замена ip-адреса, JackRip, 17:31 , 16-Окт-08, (9)

Замена ip-адреса, Grey, 11:33 , 17-Окт-08, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Замена ip-адреса"

Сообщение от JackRip (ok) on 15-Окт-08, 19:41

Неужели никто не занимался публикацией портов?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Замена ip-адреса"

Сообщение от Grey (ok) on 16-Окт-08, 09:50

>Неужели никто не занимался публикацией портов?
а каким образом Вы "публикуете" порты?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Замена ip-адреса"

Сообщение от JackRip (ok) on 16-Окт-08, 09:55

>>Неужели никто не занимался публикацией портов?
>
>а каким образом Вы "публикуете" порты?
/usr/ports/sysutils/socket
в /etc/services
port25        25/tcp
port25        25/udp
в /etc/inetd.conf
port25 stream tcp nowait root /usr/local/bin/socket socket  192.168.1.2 25
Примерно так

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Замена ip-адреса"

Сообщение от PavelR (??) on 16-Окт-08, 10:04

>[оверквотинг удален]
>
>/usr/ports/sysutils/socket
>в /etc/services
>port25        25/tcp
>port25        25/udp
>в /etc/inetd.conf
>
>port25 stream tcp nowait root /usr/local/bin/socket socket  192.168.1.2 25
>
>Примерно так
переделайте на использование трансляции адресов, а-ля DNAT.
man natd
google://natd

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Замена ip-адреса"

Сообщение от Rontex (??) on 16-Окт-08, 16:14

я использую ipnat все работает как часы и на уровне ядра в отличии от natd ;)...почтовый сервак (у меня Mdeamon под винду 100% видит реальные IP входящих smtp подключений).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Замена ip-адреса"

Сообщение от JackRip (ok) on 16-Окт-08, 16:18

>я использую ipnat все работает как часы и на уровне ядра в
>отличии от natd ;)...почтовый сервак (у меня Mdeamon под винду 100%
>видит реальные IP входящих smtp подключений).
Щас добью natd и если он не будет показывать реальные айпи, то примусь за ipnat... Проблема тоже в почтовике внутри.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Замена ip-адреса"

Сообщение от JackRip (ok) on 16-Окт-08, 16:26

В общем, natd заменяет реальные айпи на свои.
Реализация:
natd.conf
use_sockets yes
same_ports yes
interface tun0
redirect_port tcp 192.168.1.2:25 25

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Замена ip-адреса"

Сообщение от Rontex (??) on 16-Окт-08, 16:38

>В общем, natd заменяет реальные айпи на свои.
>Реализация:
>natd.conf
>use_sockets yes
>same_ports yes
>interface tun0
>redirect_port tcp 192.168.1.2:25 25
Я natd не использовал для роутинга, поэтому точно сказать не могу...За ipnat уверен, работаю с ним. А вообще по правильному нужно использовать не роутинг, а строитиь почтовый релей, т.е. все проверки должны проходить на FreeBSD, напремер средствами sendmail, а потом, если проверка пройдена, перенаправлять тем же sendmail на твой внутренний сервак. Так гораздо безопастней! Уж очень стремно 25 порт microsoft показывать в мир ;)...
У меня так это реализовано... 110 порт у меня прокинут ipnat и сервак видит реальный IP подключений.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Замена ip-адреса"

Сообщение от JackRip (ok) on 16-Окт-08, 17:31

а можешь подсказать что не хватает:
server# ipnat -l
List of active MAP/Redirect filters:
rdr tun0 80.80.80.80/32 port 4000 -> 192.168.1.2 port 3389 tcp
List of active sessions:
RDR 192.168.1.2     3389  <- -> 80.80.80.80  4000  [90.90.90.90 2723]
Т.е. я прописал правило на редирект 3389 с терминала внутри сети на внешний. Пытаюсь коннектиться с айпи 90.90.90.90 - соединение не устанавливается, но в активных сессиях появляется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Замена ip-адреса"

Сообщение от Grey (ok) on 17-Окт-08, 11:33

>В общем, natd заменяет реальные айпи на свои.
>Реализация:
>natd.conf
>use_sockets yes
>same_ports yes
>interface tun0
>redirect_port tcp 192.168.1.2:25 25
не заменяет он ни разу .... несколько лет пользую его на шлюзах и редирект порта пользую ... всё нормально работает ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Замена ip-адреса"
Сообщение от JackRip (ok) on 15-Окт-08, 19:41
Неужели никто не занимался публикацией портов?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Замена ip-адреса"
	Сообщение от Grey (ok) on 16-Окт-08, 09:50
	>Неужели никто не занимался публикацией портов? а каким образом Вы "публикуете" порты?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Замена ip-адреса"
	Сообщение от JackRip (ok) on 16-Окт-08, 09:55
	>>Неужели никто не занимался публикацией портов? > >а каким образом Вы "публикуете" порты? /usr/ports/sysutils/socket в /etc/services port25 25/tcp port25 25/udp в /etc/inetd.conf port25 stream tcp nowait root /usr/local/bin/socket socket 192.168.1.2 25 Примерно так
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Замена ip-адреса"
	Сообщение от PavelR (??) on 16-Окт-08, 10:04
	>[оверквотинг удален] > >/usr/ports/sysutils/socket >в /etc/services >port25 25/tcp >port25 25/udp >в /etc/inetd.conf > >port25 stream tcp nowait root /usr/local/bin/socket socket 192.168.1.2 25 > >Примерно так переделайте на использование трансляции адресов, а-ля DNAT. man natd google://natd
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Замена ip-адреса"
	Сообщение от Rontex (??) on 16-Окт-08, 16:14
	я использую ipnat все работает как часы и на уровне ядра в отличии от natd ;)...почтовый сервак (у меня Mdeamon под винду 100% видит реальные IP входящих smtp подключений).
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Замена ip-адреса"
	Сообщение от JackRip (ok) on 16-Окт-08, 16:18
	>я использую ipnat все работает как часы и на уровне ядра в >отличии от natd ;)...почтовый сервак (у меня Mdeamon под винду 100% >видит реальные IP входящих smtp подключений). Щас добью natd и если он не будет показывать реальные айпи, то примусь за ipnat... Проблема тоже в почтовике внутри.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Замена ip-адреса"
	Сообщение от JackRip (ok) on 16-Окт-08, 16:26
	В общем, natd заменяет реальные айпи на свои. Реализация: natd.conf use_sockets yes same_ports yes interface tun0 redirect_port tcp 192.168.1.2:25 25
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Замена ip-адреса"
	Сообщение от Rontex (??) on 16-Окт-08, 16:38
	>В общем, natd заменяет реальные айпи на свои. >Реализация: >natd.conf >use_sockets yes >same_ports yes >interface tun0 >redirect_port tcp 192.168.1.2:25 25 Я natd не использовал для роутинга, поэтому точно сказать не могу...За ipnat уверен, работаю с ним. А вообще по правильному нужно использовать не роутинг, а строитиь почтовый релей, т.е. все проверки должны проходить на FreeBSD, напремер средствами sendmail, а потом, если проверка пройдена, перенаправлять тем же sendmail на твой внутренний сервак. Так гораздо безопастней! Уж очень стремно 25 порт microsoft показывать в мир ;)... У меня так это реализовано... 110 порт у меня прокинут ipnat и сервак видит реальный IP подключений.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Замена ip-адреса"
	Сообщение от JackRip (ok) on 16-Окт-08, 17:31
	а можешь подсказать что не хватает: server# ipnat -l List of active MAP/Redirect filters: rdr tun0 80.80.80.80/32 port 4000 -> 192.168.1.2 port 3389 tcp List of active sessions: RDR 192.168.1.2 3389 <- -> 80.80.80.80 4000 [90.90.90.90 2723] Т.е. я прописал правило на редирект 3389 с терминала внутри сети на внешний. Пытаюсь коннектиться с айпи 90.90.90.90 - соединение не устанавливается, но в активных сессиях появляется.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Замена ip-адреса"
	Сообщение от Grey (ok) on 17-Окт-08, 11:33
	>В общем, natd заменяет реальные айпи на свои. >Реализация: >natd.conf >use_sockets yes >same_ports yes >interface tun0 >redirect_port tcp 192.168.1.2:25 25 не заменяет он ни разу .... несколько лет пользую его на шлюзах и редирект порта пользую ... всё нормально работает ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]