Почтовик отдельно, шлюз отдельно, нужен совет или помощь...

[immortal]

Всем форумчанам привет!!
Возникла такая необходимость разделить Почтовик (FreeBSD 8.2) и шлюз в инет (FreeBSD 9.0) на разные машины.
Возможно ли реализовать почту на отдельной машине от шлюза, чтоб и локально и из вне работало? Есть у кого идеи или уже кто-нидь может реализовывал таким образом?
Нужен ли проброс портов через нат или достаточно в файрволе порты разрешить?
1я Машина:
FreeBSD 8.2, exim-4.77, dovecot-1.2.17.
Один локальный адрес: 192.168.2.222

2я Машина:
FreeBSD 9.0, файрвол (ipfw), natd, squid.
Один лок адрес: 192.168.1.222
Один внешний: 11.11.11.11

По сути нужно чтоб екзим и довекот (192.168.2.222) работали с внешкой через шлюз (192.168.1.222 и 11.11.11.11)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

Можно, редирект и нат нужных портов

[immortal]

Порты же я бросаю только на шлюзе? На почтовике же ничего не надо?

[mak_v_]

Шлюз:
Снаружи - редирект портов на которых работают exim-4.77, dovecot-1.2.17 --->192.168.2.222
Изнутри - нат потртов на которых работают exim-4.77, dovecot-1.2.17 ---> 11.11.11.11

[immortal]

И конфиг экзима не надо ковырять? Почтовик просто получается на новый сервак съехал... Имена хостов в конфиге я уже поправил...

[immortal]

Спасибо за ответы большое Буду пробывать

[skeletor]

Лучше так не делать (почтовик+редирект портов), могут быть проблемы с отправкой без авторизации.

[suspender]

Ещё можно на шлюзе также поднять exim и настроить его как smtp-relay для внутреннего.

[mak_v_]

Лучше так не делать (почтовик+редирект портов), могут быть проблемы с отправкой без авторизации.

Отправка без авторизации - это каменный век. Авторизация должна быть на smtp ВСЕГДА,если он выполняет функции релея в незамкнутой системе.

Так как Вы, ув.skeletor любитель поспорить - приведите хоть один пример где не обойтись без авторизации

[skeletor]

Есть ПО (например, клиент-банки, не все конечно, но я с такими сталкивался), которое не умеет так работать (с авторизацией) и тянется оно из каменного века.

[mak_v_]

ПО, которое работает по СМТП, без авторизации, да ещё и банковское.....хмм....дайте хоть название банка.
А вообще в настройках смтп обычно можно указать "кому можно без авторизации". Например в exim это

Код: Выделить всё

hostlist   relay_from_hosts = ОЙПИ_СУПЕРКЛИЕНТСКОГО_ПО

Ну а всем остальным с авторизацией..Я правильно мыслю?

[skeletor]

Да, всё верно, мыслишь.
Так вот, если это ПО (не могу назвать, коммерческая тайна) стоит на шлюзе, а на почтовый сервак идёт редирект (и не дай бог использовать для этого redir), то мы получаем следующую картину (тоже из опыта):
пакеты пришедшие из мира будут иметь IP=локального интерфейса шлюза, а для него разрешена отправка без авторизации, и значит имеем открытый релей. Как итог - попадание в блэклисты обеспечено. И такое выяснить будет не просто.
Вывод - либо не делать пробросы, либо внимательно следить за тем, какой адрес имеют пакеты, которые пробросились внутрь сетки.
Касательно ситуации, я бы не сказал, что она очень частая, но и не очень редкая.

[mak_v_]

Имейте уважение, я Вам не тыкал.
Клиент банк, на шлюзе???
Клиент-банк на фре!!!!
redir -!!!!
Ужас
Ффффф- беред....это вы видать перепили, построив такую связку......

Ну да ладно...если ПО, шуршащее без авторизации на шлюзе - пусть оно шуршит смтп-сессии сразу "туды куды надо", а не внутрь на свой smtp.

Вы начинаете выдумывать какой-то неимоверный костыль. (Или вы его уже построили??!!!!!)
Клиентское ПО на сервере? на Шлюзе! Смтп без авторизации? фффф, Редирект как таковой (ipfw pf ipf ipnat iptabes ) не изменяет адреса источника src.
По поводу костыля redir - не курил такого.

пакеты пришедшие из мира будут иметь IP=локального интерфейса шлюза

Не будут, не БУ-ДУ-Т, если их не натить,
Нат Внутрь-снаружи в данной схеме - как рукав известному органу.
А вы видимо ещё и натите их....кошмар

[skeletor]

окей, кэп
Читайте внимательнее, уважаемый. Где я писал, что я такое настраивал? Я писал то, с чем столкнулся (а это мне досталось от предыдущих).
Кто из нас ещё пил?

Продолжим тему: придолбайся к фразе
"зачем разбивать ipf и ipnat отдельно, при этом не разбивая отдельно, например pf и pfnat?"

[mak_v_]

Ещё больший бред начинаете писать и снова тыкать.
Имейте мудрость признать свою неправоту. На сим извольте откланяться.

[immortal]

Ребят, не надо ругаться из-за мелочи... У кого как настроено, это выбор настрающего...

А в целом я Вас понял... И очень соглашусь, с тем что не нужно мне изобретать костыли. Лучше оставлю все на одной фре, я не сторонник релеев, и как сказал Уважаемый mak_v_ действительно что попадание в блек листы обеспечены, я уже с этим сталкивался. Я сторонник безопасности и поэтому оставлю как делал (все на одном серваке) с железными правилами и натом.
Спасибо Вам всем за разъяснение и помощь, что нужно я понял. Форум отличный, как и форумчане... Еще раз спасибо Пошел пилить конфиги на один сервак!!

[Shuba]

Ерунду какая-то. У самого почтовик в DMZ на сером адресе. Стоит шлюз, одной сетевухой в инет, второй в DMZ, третья - в локалку. Шлюз пробрасывает tcp-25 средствами ядерного NAT-а в DMZ. Почтовик принимает соединение - от адреса отправителя в инете (т.е. почтовик видит адреса типа 121.212.121.212). Не нужно никаких открытых релеев, почтовик проверяет fqdn, авторизацию средствами dovecot, прямые и обратные адреса чужих почтовиков, кому и кем отправляются письма и т.д., и всё работает как часы.

[mak_v_]

Ерунду какая-то. У самого почтовик в DMZ на сером адресе. Стоит шлюз, одной сетевухой в инет, второй в DMZ, третья - в локалку. Шлюз пробрасывает tcp-25 средствами ядерного NAT-а в DMZ. Почтовик принимает соединение - от адреса отправителя в инете (т.е. почтовик видит адреса типа 121.212.121.212). Не нужно никаких открытых релеев, почтовик проверяет fqdn, авторизацию средствами dovecot, прямые и обратные адреса чужих почтовиков, кому и кем отправляются письма и т.д., и всё работает как часы.

Ну а я о чем? Я же ответами выше и пытался в этом убедить одного товарища.
А ему надо "приипаться к радио", да костыльные схемы свои поафишировать.

[immortal]

Ерунду какая-то. У самого почтовик в DMZ на сером адресе. Стоит шлюз, одной сетевухой в инет, второй в DMZ, третья - в локалку. Шлюз пробрасывает tcp-25 средствами ядерного NAT-а в DMZ. Почтовик принимает соединение - от адреса отправителя в инете (т.е. почтовик видит адреса типа 121.212.121.212). Не нужно никаких открытых релеев, почтовик проверяет fqdn, авторизацию средствами dovecot, прямые и обратные адреса чужих почтовиков, кому и кем отправляются письма и т.д., и всё работает как часы.

Все верно говорите, посидел, покурил полчаса да и собрал как надо без релеев:) Теперь у меня почтовик отдельно, шлюз отдельно как и было в задаче!! Всем большое спасибо за ответы и помощь...