exim за NAT-ом

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

exim за NAT-ом

Непрочитанное сообщение werder31 » 2013-11-05 13:56:56

Переместил рабочий сервер с Exim-ом с белым айпи за НАТ, все работает, кроме одного:
Ко мне приходят письма типа с моего шлюза(ну подмена IP), в результате грейлист и мои блеклисты пошли лесом.
Как правильно настроить шлюз без подмены ip, что бы мой почтовик(192.168.1.2) видел реальные IP отправителей?

Простите за глупые вопросы :(
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-06 16:29:04

Натить не надо, надо редиректить на внешнем вашего шлюза, а изнутри натить.

ацл, где проверяем отправителя. Если отправитель локальный, то обязательна авторизация, иначе - в лес.

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: exim за NAT-ом

Непрочитанное сообщение werder31 » 2013-11-06 16:41:44

для редиректа я юзаю rinetd.

Код: Выделить всё

$cmd add fwd 192.168.1.5,PORT tcp from any to $wanip PORT in via $eif
Че-то не отрабатывает
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-06 16:45:17

Используйте хоть горшок. На внешний интерфейс вашего почтовика запросы с каким src приходят?

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: exim за NAT-ом

Непрочитанное сообщение werder31 » 2013-11-06 17:20:44

я немного не правильно обьяснил.
Суть проблемы в том что редиректить я редирекчу, но екзим получает пакеты с src address - 192.168.1.1
А мне нужно чтобы при редиректе src address не изменялся
Пробовал Datapipe, Rinetd, все они заменяют src address
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-06 17:26:39

ну так что вы тогда хотите?
зачем эти костыли в виде Datapipe, Rinetd и прочей лабуды?
Например на pf это 2 строки (одна редирект, вторая нат), аналогично на ipfw, аналогично на ipf, аналогично в ipnat.
На костылях сильно не побегаешь.

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: exim за NAT-ом

Непрочитанное сообщение werder31 » 2013-11-06 17:37:33

Просто всю жизнь юзал Ринетд, и проблем небыло, я даже не думал какой там src address а какой dst address, не было нужды...
А щас..))) лажа получилась.

Спасибо за совет буду ковырять свой ipfw.
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-06 17:45:08

werder31 писал(а):Просто всю жизнь юзал Ринетд, и проблем небыло, я даже не думал какой там src address а какой dst address, не было нужды...
А щас..))) лажа получилась.

Спасибо за совет буду ковырять свой ipfw.
Нахрена тот ринетд если ipfw уже есть????

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: exim за NAT-ом

Непрочитанное сообщение skeletor » 2013-11-11 13:24:40

Тут не столько ipfw, сколько natd/kernel nat (ну или любой другой демон, умеющий DNAT) нужен.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-11 13:34:39

Это сильное замечание "по сути"...давайте картошку будем называть "родом паслёновых"...у него она уже посажена..

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-11 13:40:04

Ему dnat не надо, ему надо REDIRECT внутрь с сохранением src, и НАТ наружу с подменой src (SNAT). А ?????

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: exim за NAT-ом

Непрочитанное сообщение skeletor » 2013-11-13 13:55:43

То, что вы описали, как раз и называется DNAT.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-13 14:11:21

Ну никак Вы не уйметесь:
Вырезка из ГУГЕЛА И ПЕДОВИКИ:
Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.
Ему dnat не надо, ему надо REDIRECT внутрь с сохранением src, и НАТ наружу с подменой src (SNAT). А ?????

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-13 14:32:17

Хотя, если вы хотите окончательно запутать человека, тода, вы правы:
К терминологии iptables ближе всего: Вам нужен dnat пакетов на внешнем интерфейсе адресовваных вашему роутеру из внешней сети на почтовый сервер и snat ответных на внутреннем интерфейсе роутера.
Хотя проще в понимании - редирект снаружи и нат изнутри.

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: exim за NAT-ом

Непрочитанное сообщение skeletor » 2013-11-13 14:58:12

mak_v_ писал(а):Ну никак Вы не уйметесь:
Вырезка из ГУГЕЛА И ПЕДОВИКИ:
Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.
Ему dnat не надо, ему надо REDIRECT внутрь с сохранением src, и НАТ наружу с подменой src (SNAT). А ?????
Причём тут SNAT? Разве SNAT обеспечит ему работу проброса портов? А вот DNAT (выражаясь терминами iptables) - да. И последнее: если у хоста есть выход в инет, значит правило NAT'a (SNAT'a) для него уже есть и не надо на это указывать. Как итог - требуется только правило проброса, то есть DNAT'a, что собственно я и написал
Застрелитесь своей википедией - это уже давно не авторитетный источник.

Приведите отличие DNAT'a от проброса портов через firewall и тогда, возможно, я изменю своё мнение.

ПС. Только супер-параноики прописывают на каждый отдельный хост отдельное правило NAT'a.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-13 15:24:32

Не факт, если есть "выход в тырнеты" - прокси или к примеру альтернативный шлюз. Продолжаем запутывать!
Только параноики ????? ДМЗ??? а если адрес в единственном экземпляре, а сервисов (серверов) внутри много????
Вобщем прилипите пожалуйста iptables с их терминологией к freebsd и решите задачу.
Если брать терминологию более "родных" ipfw, pf, ipf - то это redirect+nat, если брать терминологию iptables - dnat+snat... именно в таком порядке.
Вобщем придумайте что-то позаковыристей ещё - например маскарадинг давайте запилим, раз уж по iptables прошлись.

mak_v_
проходил мимо

Re: exim за NAT-ом

Непрочитанное сообщение mak_v_ » 2013-11-13 15:33:01

рекомендую вот этому товарищу втолковать, что dnat не будет работать, при манипуляциях только на его "тазике". А при манипуляциях ещё и на "том" тазике...возможно можно будет сделать костыль с несколькими "dnat+snat" http://forum.lissyara.su/viewtopic.php?f=4&t=40397
Там вдоволь можно наразворачиваться с соурсами и дестинейшнами, если не добавлять адресное пространство.

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: exim за NAT-ом

Непрочитанное сообщение skeletor » 2013-11-18 13:59:34

1) Нужен был проброс - я указал, как именно это сделать, без лишней воды. Краткий ответ на заданный вопрос.
2) Почитайте, что вы пишите (вместо того, что бы придалбываться ко мне, лучше думайте то, о чём сами пишите):
mak_v_ писал(а): Например на pf это 2 строки (одна редирект, вторая нат), аналогично на ipfw, аналогично на ipf, аналогично в ipnat.
На костылях сильно не побегаешь.
Да, через pf проброс можно сделать, но вот через ipfw (чистый, без kernel nat/natd/...), а так же через ipf (тоже чистый, если уж вы разделили ipf и ipnat) - нельзя. Вот интересно, как можно это сделать отдельно в ipf и ipnat, если это делается аналогично ipfw?
3) Касательно терминов SNAT/DNAT - просто в iptables эти термины одновременно являются и ключевыми словами в синтаксисе, но не то, что эти термины применяются только там и нигде больше нельзя их применить. А то что, вы этого не понимаете (или не хотите) - ваши проблемы.

Вас больше всего задело то, что вы написали столько текста (и куча терминов: pf, ipfw, ipf, ipnat) и вас после этого поправили (). После этого вы начали писать как непонятно что, особенно много текста про SNAT (о котором вообще упоминаний не было). Успокойтесь наконец-то, если не можете аргументировано доказать свою правоту.
Хотите опровергнуть - сделайте это (больше технического текста, особенно, что такое, чем отличается, что означает термин, почему DNAT это не "проброс" - тоже технически, а не вольный мыслитель, ...). Не хотите - не пишите всякой гадости, это засоряет форум: из 10-ти сообщений в теме 1 только по теме (то, что я привёл во втором пункте).
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: exim за NAT-ом

Непрочитанное сообщение werder31 » 2013-11-18 14:09:01

Добрый день
Я Вас прошу не ссоритесь, вопрос уже давно решен (ipfw+kernel Nat)
Спасибо за подсказки!!
Любите жизнь, ведь она все равно отымеет..так хоть по любви!