exim за NAT-ом

[werder31]

Переместил рабочий сервер с Exim-ом с белым айпи за НАТ, все работает, кроме одного:
Ко мне приходят письма типа с моего шлюза(ну подмена IP), в результате грейлист и мои блеклисты пошли лесом.
Как правильно настроить шлюз без подмены ip, что бы мой почтовик(192.168.1.2) видел реальные IP отправителей?

Простите за глупые вопросы

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

Натить не надо, надо редиректить на внешнем вашего шлюза, а изнутри натить.

ацл, где проверяем отправителя. Если отправитель локальный, то обязательна авторизация, иначе - в лес.

[werder31]

для редиректа я юзаю rinetd.

Код: Выделить всё

$cmd add fwd 192.168.1.5,PORT tcp from any to $wanip PORT in via $eif

Че-то не отрабатывает

[mak_v_]

Используйте хоть горшок. На внешний интерфейс вашего почтовика запросы с каким src приходят?

[werder31]

я немного не правильно обьяснил.
Суть проблемы в том что редиректить я редирекчу, но екзим получает пакеты с src address - 192.168.1.1
А мне нужно чтобы при редиректе src address не изменялся
Пробовал Datapipe, Rinetd, все они заменяют src address

[mak_v_]

ну так что вы тогда хотите?
зачем эти костыли в виде Datapipe, Rinetd и прочей лабуды?
Например на pf это 2 строки (одна редирект, вторая нат), аналогично на ipfw, аналогично на ipf, аналогично в ipnat.
На костылях сильно не побегаешь.

[werder31]

Просто всю жизнь юзал Ринетд, и проблем небыло, я даже не думал какой там src address а какой dst address, не было нужды...
А щас..))) лажа получилась.

Спасибо за совет буду ковырять свой ipfw.

[mak_v_]

Просто всю жизнь юзал Ринетд, и проблем небыло, я даже не думал какой там src address а какой dst address, не было нужды...
А щас..))) лажа получилась.

Спасибо за совет буду ковырять свой ipfw.

Нахрена тот ринетд если ipfw уже есть????

[skeletor]

Тут не столько ipfw, сколько natd/kernel nat (ну или любой другой демон, умеющий DNAT) нужен.

[mak_v_]

Это сильное замечание "по сути"...давайте картошку будем называть "родом паслёновых"...у него она уже посажена..

[mak_v_]

Ему dnat не надо, ему надо REDIRECT внутрь с сохранением src, и НАТ наружу с подменой src (SNAT). А ?????

[skeletor]

То, что вы описали, как раз и называется DNAT.

[mak_v_]

Ну никак Вы не уйметесь:
Вырезка из ГУГЕЛА И ПЕДОВИКИ:

Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.

Ему dnat не надо, ему надо REDIRECT внутрь с сохранением src, и НАТ наружу с подменой src (SNAT). А ?????

[mak_v_]

Хотя, если вы хотите окончательно запутать человека, тода, вы правы:
К терминологии iptables ближе всего: Вам нужен dnat пакетов на внешнем интерфейсе адресовваных вашему роутеру из внешней сети на почтовый сервер и snat ответных на внутреннем интерфейсе роутера.
Хотя проще в понимании - редирект снаружи и нат изнутри.

[skeletor]

Ну никак Вы не уйметесь:
Вырезка из ГУГЕЛА И ПЕДОВИКИ:

Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.

Ему dnat не надо, ему надо REDIRECT внутрь с сохранением src, и НАТ наружу с подменой src (SNAT). А ?????

Причём тут SNAT? Разве SNAT обеспечит ему работу проброса портов? А вот DNAT (выражаясь терминами iptables) - да. И последнее: если у хоста есть выход в инет, значит правило NAT'a (SNAT'a) для него уже есть и не надо на это указывать. Как итог - требуется только правило проброса, то есть DNAT'a, что собственно я и написал
Застрелитесь своей википедией - это уже давно не авторитетный источник.

Приведите отличие DNAT'a от проброса портов через firewall и тогда, возможно, я изменю своё мнение.

ПС. Только супер-параноики прописывают на каждый отдельный хост отдельное правило NAT'a.

[mak_v_]

Не факт, если есть "выход в тырнеты" - прокси или к примеру альтернативный шлюз. Продолжаем запутывать!
Только параноики ????? ДМЗ??? а если адрес в единственном экземпляре, а сервисов (серверов) внутри много????
Вобщем прилипите пожалуйста iptables с их терминологией к freebsd и решите задачу.
Если брать терминологию более "родных" ipfw, pf, ipf - то это redirect+nat, если брать терминологию iptables - dnat+snat... именно в таком порядке.
Вобщем придумайте что-то позаковыристей ещё - например маскарадинг давайте запилим, раз уж по iptables прошлись.

[mak_v_]

рекомендую вот этому товарищу втолковать, что dnat не будет работать, при манипуляциях только на его "тазике". А при манипуляциях ещё и на "том" тазике...возможно можно будет сделать костыль с несколькими "dnat+snat" http://forum.lissyara.su/viewtopic.php?f=4&t=40397
Там вдоволь можно наразворачиваться с соурсами и дестинейшнами, если не добавлять адресное пространство.

[skeletor]

1) Нужен был проброс - я указал, как именно это сделать, без лишней воды. Краткий ответ на заданный вопрос.
2) Почитайте, что вы пишите (вместо того, что бы придалбываться ко мне, лучше думайте то, о чём сами пишите):

Например на pf это 2 строки (одна редирект, вторая нат), аналогично на ipfw, аналогично на ipf, аналогично в ipnat.
На костылях сильно не побегаешь.

Да, через pf проброс можно сделать, но вот через ipfw (чистый, без kernel nat/natd/...), а так же через ipf (тоже чистый, если уж вы разделили ipf и ipnat) - нельзя. Вот интересно, как можно это сделать отдельно в ipf и ipnat, если это делается аналогично ipfw?
3) Касательно терминов SNAT/DNAT - просто в iptables эти термины одновременно являются и ключевыми словами в синтаксисе, но не то, что эти термины применяются только там и нигде больше нельзя их применить. А то что, вы этого не понимаете (или не хотите) - ваши проблемы.

Вас больше всего задело то, что вы написали столько текста (и куча терминов: pf, ipfw, ipf, ipnat) и вас после этого поправили (). После этого вы начали писать как непонятно что, особенно много текста про SNAT (о котором вообще упоминаний не было). Успокойтесь наконец-то, если не можете аргументировано доказать свою правоту.
Хотите опровергнуть - сделайте это (больше технического текста, особенно, что такое, чем отличается, что означает термин, почему DNAT это не "проброс" - тоже технически, а не вольный мыслитель, ...). Не хотите - не пишите всякой гадости, это засоряет форум: из 10-ти сообщений в теме 1 только по теме (то, что я привёл во втором пункте).

[werder31]

Добрый день
Я Вас прошу не ссоритесь, вопрос уже давно решен (ipfw+kernel Nat)
Спасибо за подсказки!!