Страница 1 из 1

Нужна помощь с bind

Добавлено: 2012-07-04 10:47:46
yurko-i
Привет всем.
Есть FreeBSD 8.2-RELEASE
Стоит Bind 9.8.2
Т.к. недавно начал работать с FreeBSD, не уверен в своих заключения по поводу правильности его работы.
Вот конфиги:

named.conf

Код: Выделить всё

acl "corpnets" { 192.168.1.0/24; 127.0.0.1; };
options {
    directory       "/etc/namedb";
    pid-file        "/var/run/named/pid";
    dump-file       "/var/dump/named_dump.db";
    statistics-file "/var/stats/named.stats";
# Разрешаем посылать запросы только от тех сетей, которые мы
# указали выше:
allow-query { "corpnets"; };
# Указываем DNSы своего провайдера
forwarders { 217.20.160.32; 217.20.184.1; };

# Интерфейсы, на которых будет запущен named
listen-on { 192.168.1.1; };
listen-on-v6 { none; };
# Диапазон IP клиентов, с которых разрешено делать запросы
allow-recursion { 127.0.0.1; 192.168.1.0/24; };
};
logging {category lame-servers { null; };};
# root zone
    zone "." {
    type hint;
    file "named.root";
    };
# localhost
zone "localhost" {
    type master;
    file "master/localhost-forward.db";
    };

# localhost-reverse
zone "127.in-addr.arpa" {
    type master;
    file "master/localhost-reverse.db";
    };

# Моя прямая зона для моего домена
zone "ayatour.com.ua" {
    type master;
    file "master/ayatour.com.ua";
<------>};

# Прямая зона для локальной сети
zone "home" {
    type master;
    file "master/home";
    };

# Обратная зона для локальной сети
zone "1.168.192.in-addr.arpa" {
    type master;
    file "master/home.rev";
    };
master/home

Код: Выделить всё

$TTL<-->3600
@<-----><------>IN<---->SOA<--->@ nobody.home. (
<------><------><------>2012040703
<------><------><------>3600
<------><------><------>900
<------><------><------>360000
<------><------><------>3600 )
@<-----><------>NS<---->@
@<-----><------>A<----->192.168.1.1
router<><------>A<----->192.168.1.1
pma<---><------>A<----->192.168.1.1
mail <-><------>IN<---->A<----->192.168.1.1
tourist><------>IN<---->A<----->192.168.1.124
komp1<-><------>A<----->192.168.1.9
komp2<-><------>A<----->192.168.1.10
komp3<-><------>A<----->192.168.1.11
komp4<-><------>A<----->192.168.1.12
komp5<-><------>A<----->192.168.1.13
komp6<-><------>A<----->192.168.1.14
komp7<-><------>A<----->192.168.1.15
komp8<-><------>A<----->192.168.1.16
home.rev

Код: Выделить всё

$TTL    3600
@<----->SOA<--->@<----->nobody.home. (
<------>2012040704
<------>3600
<------>900
<------>360000
<------>3600 )
@<----->IN      NS<---->router.home.
1<----->IN<---->PTR<--->freebsd.router.home.
1<----->IN<---->PTR<--->mai.home.
124<--->IN<---->PTR<--->tourist.srv.home.
9<----->IN<---->PTR<--->unix.komp1.home.
10<---->IN<---->PTR<--->win7.komp2.home.
11<---->IN<---->PTR<--->win7.komp3.home.
12<---->IN<---->PTR<--->win7.komp4.home.
13<---->IN<---->PTR<--->win7.komp5.home.
14<---->IN<---->PTR<--->win7.komp6.home.
15<---->IN<---->PTR<--->win7.komp7.home.
ayatour.com.ua

Код: Выделить всё

$TTL<-->86400
@<-----><------>IN<---->SOA<--->ns.ayatour.com.ua. admin.ayatour.com.ua. (
<------><------>2011042902;<--->Serial
<------><------>3600;<-><------>Refresh
<------><------>900;<--><------>Retry
<------><------>360000;><------>Expire
<------><------>3600;<-><------>Minimum
)
<------>86400<->IN <--->NS<---->ns.ayatour.com.ua.
<------>86400<->IN<---->NS<---->ns1.ukraine.com.ua.
<------>86400   IN<---->NS      ns2.ukraine.com.ua.
;<----->86400   IN<---->A<----->192.168.1.1
<------>86400   IN<---->A<----->91.206.200.185
<------>86400   IN<---->MX<---->10<---->mail.ayatour.com.ua.

www<---><------>IN<---->A<----->91.206.200.185
visa<--><------>IN<---->A<----->91.206.200.185
mice<--><------>IN<---->A<----->91.206.200.185
avia<--><------>IN<---->A<----->91.206.200.185
localhost <---->IN<---->A<----->127.0.0.1
ns<----><------>IN<---->A<----->192.168.1.1
core <-><------>IN<---->A<----->192.168.1.1
pma<---><------>IN<---->A<----->192.168.1.1
mail<--><------>IN<---->A<----->217.20.183.121
tourist><------>IN<---->A<----->192.168.1.124

wnd10<-><------>IN<---->A<----->192.168.1.10
wnd11<-><------>IN<---->A<----->192.168.1.11
wnd12<-><------>IN<---->A<----->192.168.1.12
wnd13<-><------>IN<---->A<----->192.168.1.13
wnd14<-><------>IN<---->A<----->192.168.1.14
wnd15<-><------>IN<---->A<----->192.168.1.15
wnd16<-><------>IN<---->A<----->192.168.1.16
wnd17<-><------>IN<---->A<----->192.168.1.17
wnd18<-><------>IN<---->A<----->192.168.1.18
wnd19<-><------>IN<---->A<----->192.168.1.19
wnd20<-><------>IN<---->A<----->192.168.1.20
wnd21<-><------>IN<---->A<----->192.168.1.21
wnd22<-><------>IN<---->A<----->192.168.1.22
wnd23<-><------>IN<---->A<----->192.168.1.23
wnd24<-><------>IN<---->A<----->192.168.1.24
wnd25<-><------>IN<---->A<----->192.168.1.25
wnd30<-><------>IN<---->A<----->192.168.1.30
wnd43<-><------>IN<---->A<----->192.168.1.43
Есть два канала от провайдера, воткнутые в сетевые карточки:
Канал80 - 92.60.187.177 (Интернет юзерам)
Канал20 - 217.20.183.121 (Почта)

Для Канала20 прописана обратная запись у провайдера на mail.ayatour.com.ua
Вот конфиг фаейрвола:
ipfw
em0 - сетевая Канал80
sk2 - сетевая Канал20
em1 - Локальная сеть

Код: Выделить всё

add 1040 allow ip from any to any via em1
#add 1041 allow ip from any to any via sk2

add 1070 deny log ip from any to 172.16.0.0/12 in recv em0
add 1080 deny log ip from 172.16.0.0/12 to any in recv em0
add 1090 deny log ip from any to 10.0.0.0/8 in recv em0
add 10100 deny log ip from 10.0.0.0/8 to any in recv em0
add 10110 deny log ip from any to 169.254.0.0/16 in recv em0
add 10120 deny log ip from 169.254.0.0/16 to any in recv em0

add 1070 deny log ip from any to 172.16.0.0/12 in recv fxp0
add 1080 deny log ip from 172.16.0.0/12 to any in recv fxp0
add 1090 deny log ip from any to 10.0.0.0/8 in recv fxp0
add 10100 deny log ip from 10.0.0.0/8 to any in recv fxp0
add 10110 deny log ip from any to 169.254.0.0/16 in recv fxp0
add 10120 deny log ip from 169.254.0.0/16 to any in recv fxp0

#Mail
add 10150 allow tcp from any to me 25 in via fxp0
add 10151 allow tcp from any to me 110 in via fxp0

# Incoming Pings
add 35 allow icmp from any to me icmptypes 8 in recv em0
add 35 allow icmp from any to me icmptypes 8 in recv fxp0
add 40 pass tcp from any to me 22
add 50 pass tcp from me 22 to any

add 60 pass udp from any to me 53
add 70 pass udp from me 53 to any

add 80 pass tcp from any to me 21
add 90 pass tcp from me 21 to any

nat 1 config log if em0 reset same_ports deny_in
nat 2 config log if fxp0 reset same_ports deny_in

nat 25 config redirect_port tcp 192.168.1.1:110 217.20.183.121:110 redirect_port tcp 192.168.1.1:25 217.20.183.121:25
nat 26 config same_ports redirect_addr 192.168.1.1 217.20.183.121 redirect_port tcp 192.168.1.1:25 25


add 901 nat 25 tcp from any to 217.20.183.121  110 recv fxp0
add 900 nat 25 tcp from any to 217.20.183.121  25 recv fxp0
#add 902 nat 25 tcp from any to 217.20.183.121  1727,1749,1757,2638,3000,3425 recv fxp0
add 910 nat 25 tcp from 192.168.1.1 110 to any

#######
add 912 nat 25 tcp from 192.168.1.1 25 to any
add 914 nat 26 tcp from any to 217.20.183.121 recv fxp0 in
add 915 nat 26 tcp from 192.168.1.1 to any 25 out xmit fxp0


add 10160 nat 1 ip from any to any via em0

#Deny all
add 65534 deny log all from any to any
Я проверял работу DNS следующим образом:
nslookup ayatour.com.ua
Server: xxx.kiev.ua
Address: 192.168.1.1

Non-authoritative answer:
Name: ayatour.com.ua
Address: 91.206.200.185

nslookup mail.ayatour.com.ua
Server: xxx.kiev.ua
Address: 192.168.1.1

Non-authoritative answer:
Name: mail.ayatour.com.ua
Address: 217.20.183.121


host ayatour.com.ua
ayatour.com.ua has address 91.206.200.185
ayatour.com.ua mail is handled by 10 mail.ayatour.com.ua.

Вроде все гуд, но хотел бы точно в этом убедиться.
Т.к. сейчас пытаюсь настроить на нем почту Postfix + Dovecot. В таком случае, как я понимаю ДНС должен работать правильно.

Спасибо.

Re: Нужна помощь с bind

Добавлено: 2012-07-04 17:16:18
Shuba
Вроде бы всё правильно, только замечание, что в описании интерфейс на почту - sk2, а в правилах - fxp0. Ну а вообще проверить всё это добро поможет тестовая эксплуатация

Re: Нужна помощь с bind

Добавлено: 2012-07-04 17:27:24
yurko-i
Shuba писал(а):Вроде бы всё правильно, только замечание, что в описании интерфейс на почту - sk2, а в правилах - fxp0. Ну а вообще проверить всё это добро поможет тестовая эксплуатация
Да, по поводу sk2 действительно ошибся.
Спасибо за помощь.

Re: Нужна помощь с bind

Добавлено: 2012-07-04 18:03:35
yurko-i
Блин, удалось поставить Postfix + Dovecot, почта бегает, но в логе maillog ошибки:

Код: Выделить всё

Jul  4 16:02:22 ayatour postfix/smtpd[19815]: warning: hostname tourist.srv.home does not resolve to address 192.168.1.124: hostname nor servname provided, o 
r not known 
Jul  4 16:02:22 ayatour postfix/smtpd[19815]: connect from unknown[192.168.1.124] 
Jul  4 16:02:24 ayatour postfix/smtpd[19815]: disconnect from unknown[192.168.1.124] 
Jul  4 16:02:28 ayatour dovecot: pop3-login: Login: user=<aviadep@ayatour.com.ua>, method=PLAIN, rip=192.168.1.13, lip=217.20.183.121 
Jul  4 16:02:28 ayatour dovecot: POP3(aviadep@ayatour.com.ua): Disconnected: Logged out top=0/0, retr=0/0, del=0/0, size=0 
Jul  4 16:02:39 ayatour postfix/smtpd[19815]: warning: hostname tourist.srv.home does not resolve to address 192.168.1.124: hostname nor servname provided, o 
r not known 
Jul  4 16:02:39 ayatour postfix/smtpd[19815]: connect from unknown[192.168.1.124] 
Jul  4 16:02:39 ayatour postfix/smtpd[19815]: 633A6F7469: client=unknown[192.168.1.124], sasl_method=PLAIN, sasl_username=admin@ayatour.com.ua 
Jul  4 16:02:39 ayatour postfix/cleanup[19818]: 633A6F7469: message-id=<734441660.20120704160801@ayatour.com.ua> 
Jul  4 16:02:39 ayatour postfix/qmgr[19814]: 633A6F7469: from=<admin@ayatour.com.ua>, size=731, nrcpt=1 (queue active) 
Jul  4 16:02:39 ayatour postfix/smtpd[19815]: disconnect from unknown[192.168.1.124] 
Jul  4 16:02:39 ayatour postfix/smtp[19832]: 633A6F7469: to=<yurko-i@samcomp.kiev.ua>, relay=mail.samcomp.kiev.ua[77.90.196.62]:25, delay=0.12, delays=0/0.01 
/0.01/0.1, dsn=2.0.0, status=sent (250 Ok, message saved <Message-ID: 734441660.20120704160801@ayatour.com.ua>) 
Jul  4 16:02:39 ayatour postfix/qmgr[19814]: 633A6F7469: removed 
Вот main.cf

Код: Выделить всё

queue_directory = /var/spool/postfix 
command_directory = /usr/local/sbin 
daemon_directory = /usr/local/libexec/postfix 
data_directory = /var/db/postfix 
mail_owner = postfix 
myhostname = mail.ayatour.com.ua 
mydomain = ayatour.com.ua 
myorigin = $mydomain 
#inet_interfaces = 217.20.183.121, 127.0.0.1 
inet_interfaces = all 
#inet_interfaces = 217.20.183.121, 127.0.0.1 
inet_protocols = ipv4 
mydestination = $myhostname, localhost.$mydomain, localhost 
local_recipient_maps = unix:passwd.byname $alias_maps 
unknown_local_recipient_reject_code = 550 
mynetworks_style = host 
mynetworks =. 
 192.168.1.0/24 
alias_maps = hash:/etc/mail/aliases 
alias_database = hash:/etc/mail/aliases 
smtpd_banner = $myhostname ESMTP $mail_name 
debug_peer_level = 2 
debugger_command = 
    PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin 
    ddd $daemon_directory/$process_name $process_id & sleep 5 
sendmail_path = /usr/local/sbin/sendmail 
newaliases_path = /usr/local/bin/newaliases 
mailq_path = /usr/local/bin/mailq 
setgid_group = maildrop 
html_directory = /usr/local/share/doc/postfix 
manpage_directory = /usr/local/man 
sample_directory = /usr/local/etc/postfix 
readme_directory = /usr/local/share/doc/postfix 
virtual_mailbox_base = /usr/mail/ 
virtual_alias_maps = mysql:/usr/local/etc/postfix/mysql_virtual_alias_maps.cf 
virtual_mailbox_domains = mysql:/usr/local/etc/postfix/mysql_virtual_domains_maps.cf 
virtual_mailbox_maps = mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_maps.cf 
virtual_minimum_uid             = 65534 
virtual_uid_maps                = static:65534 
virtual_gid_maps                = static:65534 
virtual_transport               = dovecot 
dovecot_destination_recipient_limit = 1 
smtpd_sasl_auth_enable = yes 
smtpd_sasl_exceptions_networks = $mynetworks 
smtpd_sasl_security_options = noanonymous 
broken_sasl_auth_clients = yes 
smtpd_sasl_type = dovecot 
smtpd_sasl_path = private/auth 
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_recipient_domain, reject_unknown_sende 
smtpd_client_connection_rate_limit = 30 
smtpd_client_connection_count_limit = 25 
smtpd_client_connection_limit_exceptions = $mynetworks 
message_size_limit = 50331648
Такое ощущение, что не правильно работает обратная зона для локальных адресов, но что там не так, ума не приложу.
Помогите разобраться плз.

Re: Нужна помощь с bind

Добавлено: 2012-07-05 8:45:33
Shuba
у тебя в прямой и обратной зоне разные имена компов прописаны на одни и те же айпишники, вот она и ругается. например:

Код: Выделить всё

file "master/ayatour.com.ua";
tourist><------>IN<---->A<----->192.168.1.124

Код: Выделить всё

file "master/home.rev";
124<--->IN<---->PTR<--->tourist.srv.home.
соответственно на nslookup tourist.ayatour.com.ua получим 192.168.1.124, а на nslookup 192.168.1.124 - tourist.srv.home

Re: Нужна помощь с bind

Добавлено: 2012-07-05 12:36:19
yurko-i
Shuba писал(а):у тебя в прямой и обратной зоне разные имена компов прописаны на одни и те же айпишники, вот она и ругается. например:

Код: Выделить всё

file "master/ayatour.com.ua";
tourist><------>IN<---->A<----->192.168.1.124

Код: Выделить всё

file "master/home.rev";
124<--->IN<---->PTR<--->tourist.srv.home.
соответственно на nslookup tourist.ayatour.com.ua получим 192.168.1.124, а на nslookup 192.168.1.124 - tourist.srv.home
Большое спасибо, разобрался.

Код: Выделить всё

[b]nslookup tourist[/b]
Server:         192.168.1.1
Address:        192.168.1.1#53

Name:   tourist.ayatour.com.ua
Address: 192.168.1.124

[b]nslookup 192.168.1.124[/b]
Server:         192.168.1.1
Address:        192.168.1.1#53

124.1.168.192.in-addr.arpa      name = tourist.ayatour.com.ua.


Re: Нужна помощь с bind

Добавлено: 2012-07-05 13:20:44
yurko-i
Тут еще такой вопрос, если можно.
При отправке сообщения постфикс отправляет ее с адреса 92.60.187.177 , а не с 217.20.183.121
Как-бы его заставить отправлять именно со второго адреса.
Причем если я в настройка ДНС в ayatour.com.ua.pr
указываю:

Код: Выделить всё

mail		A	217.20.183.121
То почта работает, и телнет по 25-му и 110-му порту проходит норм.
А если:

Код: Выделить всё

mail 		A	192.168.1.1
То не работает.
При получении письма на gmail например заголовок письма выглядит след образом:

Код: Выделить всё

Delivered-To: yurkoi83@gmail.com
Received: by 10.66.251.230 with SMTP id zn6csp215622pac;
        Thu, 5 Jul 2012 02:27:18 -0700 (PDT)
Received: by 10.180.78.99 with SMTP id a3mr40450015wix.15.1341480437449;
        Thu, 05 Jul 2012 02:27:17 -0700 (PDT)
Return-Path: <admin@ayatour.com.ua>
Received: from mail.ayatour.com.ua ([92.60.187.177])
        by mx.google.com with ESMTP id d6si32233127wiv.2.2012.07.05.02.27.16;
        Thu, 05 Jul 2012 02:27:17 -0700 (PDT)
Received-SPF: neutral (google.com: 92.60.187.177 is neither permitted nor denied by best guess record for domain of admin@ayatour.com.ua) client-ip=92.60.187.177;
Authentication-Results: mx.google.com; spf=neutral (google.com: 92.60.187.177 is neither permitted nor denied by best guess record for domain of admin@ayatour.com.ua) smtp.mail=admin@ayatour.com.ua
Received: from Tourist.core.ayatour.com.ua (tourist.ayatour.com.ua [192.168.1.124])
	by mail.ayatour.com.ua (Postfix) with ESMTP id 30C19F745A
	for <yurkoi83@gmail.com>; Thu,  5 Jul 2012 12:27:16 +0300 (EEST)
Date: Thu, 5 Jul 2012 12:32:37 +0300
Сейчас у меня настройки ДНС выглядят след. образом:
named.conf

Код: Выделить всё

options {
    directory	"/etc/namedb";
	pid-file	"/var/run/named/pid";
	dump-file	"/var/dump/named_dump.db";
	statistics-file	"/var/stats/named.stats";
	listen-on {127.0.0.1; 192.168.1.1;};
	forwarders {
	217.20.160.32; 
	217.20.184.1;
		    };
};

zone "." {
	type hint;
	file "named.root";
	};

zone "0.0.127.IN-ADDR.ARPA" {
	type master;
	file "master/localhost.rev";
};

// RFC 3152
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
	type master;
	file "master/localhost-v6.rev";
};

// 
// a caching only nameserver config
// 

zone "1.168.192.in-addr.arpa" {
	type master;
	file "192.168.1.0.pr";
};

zone "ayatour.com.ua" {
	type master;
	file "ayatour.com.ua.pr";
};
zone "0.in-addr.arpa" { 
	type master; file "master/empty.db"; 
};
192.168.1.0.pr

Код: Выделить всё

$TTL	3600
@	IN	SOA	1.168.192.in-addr.arpa. admin.ayatour.com.ua. (
			2010102620
			10800
			3600
			604800
			86400 )
	IN   	NS    	ayatour.com.ua.
1	IN      PTR     mail.ayatour.com.ua.
124	IN	PTR	tourist.ayatour.com.ua.
9	IN	PTR	telsrv.ayatour.com.ua.
10	IN	PTR	wnd10.ayatour.com.ua.
11	IN	PTR	wnd11.ayatour.com.ua.
12	IN	PTR	wnd12.ayatour.com.ua.
13	IN	PTR	wnd13.ayatour.com.ua.
14	IN	PTR	wnd14.ayatour.com.ua.
15	IN	PTR	wnd15.ayatour.com.ua.
16	IN	PTR	wnd16.ayatour.com.ua.
17	IN	PTR	wnd17.ayatour.com.ua.
18	IN	PTR	wnd18.ayatour.com.ua.
19	IN	PTR	wnd19.ayatour.com.ua.
26	IN	PTR	wnd26.ayatour.com.ua.
30	IN	PTR	wnd30.ayatour.com.ua.
43	IN	PTR	wnd43.ayatour.com.ua.
50	IN	PTR	wnd50.ayatour.com.ua.
ayatour.com.ua.pr

Код: Выделить всё

; Authoritative data for ayatour.com.ua (ORIGIN assumed ayatour.com.ua)
;
$TTL 86400
@		IN	SOA	ns.ayatour.com.ua. admin.ayatour.com.ua. (
		2010102619
		10800
		3600
		604800
		86400 )
; DNS servers
	86400	IN 	NS	ns.ayatour.com.ua.
	86400	IN	NS	ns1.ukraine.com.ua.
	86400   IN	NS      ns2.ukraine.com.ua.
;	86400   IN	A	192.168.1.1
	86400   IN	A	91.206.200.185
	86400   IN	MX	10	mail.ayatour.com.ua.

localhost	IN    A	    127.0.0.1

; real hosts
ns		A	192.168.1.1
router		A	192.168.1.1
pma		A	192.168.1.1
;mail 		A	192.168.1.1
mail		A	217.20.183.121
tourist		A	192.168.1.124
telsrv		A	192.168.1.9
;web
mice		A	91.206.200.185
avia		A	91.206.200.185
visa		A	91.206.200.185
www		A	91.206.200.185

wnd10		IN	A	192.168.1.10
wnd11		IN	A	192.168.1.11
wnd12		IN	A	192.168.1.12
wnd13		IN	A	192.168.1.13
wnd14		IN	A	192.168.1.14
wnd15		IN	A	192.168.1.15
wnd16		IN	A	192.168.1.16
wnd17		IN	A	192.168.1.17
wnd18		IN	A	192.168.1.18
wnd19		IN	A	192.168.1.19
wnd20		IN	A	192.168.1.20
wnd21		IN	A	192.168.1.21
wnd22		IN	A	192.168.1.22
wnd23		IN	A	192.168.1.23
wnd24		IN	A	192.168.1.24
wnd25		IN	A	192.168.1.25
wnd26		IN	A	192.168.1.26
wnd30		IN	A	192.168.1.30
wnd43		IN	A	192.168.1.43
Настройки фаервола не изменились, приведены выше.
Спасибо.

Re: Нужна помощь с bind

Добавлено: 2012-07-05 15:34:24
schizoid
у вас на почтовом сервере 2 сетевых интерфейса?
настройте для него правильный роутинг/нат - и он будет слать с правильным ИПом

Re: Нужна помощь с bind

Добавлено: 2012-07-06 11:37:35
yurko-i
schizoid писал(а):у вас на почтовом сервере 2 сетевых интерфейса?
настройте для него правильный роутинг/нат - и он будет слать с правильным ИПом
Да, интерфейса 2.
Пробую бодаться с натом, пока ничего не получается.
В фаерволе пишу:

Код: Выделить всё

add 10152 allow tcp from any to me 25 in via em1
add 10153 allow tcp from any to me 110 in via em1
По телнету этот интерфейс все равно не отзывается.

Делаю редирект портов:

Код: Выделить всё

nat 1 config log if em0 reset same_ports deny_in
nat 2 config log if fxp0 reset same_ports deny_in

nat 25 config redirect_port tcp 192.168.1.1:110 217.20.183.121:110 redirect_port tcp 192.168.1.1:25 217.20.183.121:25
nat 26 config same_ports redirect_addr 192.168.1.1 217.20.183.121 redirect_port tcp 192.168.1.1:25 25

add 901 nat 25 tcp from any to 217.20.183.121  110 recv fxp0
add 900 nat 25 tcp from any to 217.20.183.121  25 recv fxp0
add 910 nat 25 tcp from 192.168.1.1 110 to any
add 912 nat 25 tcp from 192.168.1.1 25 to any
add 914 nat 26 tcp from any to 217.20.183.121 recv fxp0 in
add 915 nat 26 tcp from 192.168.1.1 to any 25 out xmit fxp0
Тоже не срабатывает.
Не подскажите в чем ошибка?

Re: Нужна помощь с bind

Добавлено: 2012-07-06 11:40:14
schizoid
попробуйте сделать шлюзом по-умолчанию нужный интерфейс.

Re: Нужна помощь с bind

Добавлено: 2012-07-06 11:58:17
yurko-i
schizoid писал(а):попробуйте сделать шлюзом по-умолчанию нужный интерфейс.
Это в настройках rc.conf сделать?
Сейчас у меня стоит тот что мне провайдер дал:

Код: Выделить всё

defaultrouter = "92.60.187.178"

Re: Нужна помощь с bind

Добавлено: 2012-07-06 12:36:39
schizoid
покажите ifconfig и скажите с какого ИПа должен слать почтовик

Re: Нужна помощь с bind

Добавлено: 2012-07-06 12:47:01
yurko-i
schizoid писал(а):покажите ifconfig и скажите с какого ИПа должен слать почтовик
ifconfig

Код: Выделить всё

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2198<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
        ether 00:15:17:de:ad:c5
        inet 92.60.187.177 netmask 0xfffffffc broadcast 92.60.187.179
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
        ether 00:15:17:de:ad:c4
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
re0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether f8:d1:11:00:ea:49
        media: Ethernet autoselect (10baseT/UTP <half-duplex>)
        status: no carrier
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2008<VLAN_MTU,WOL_MAGIC>
        ether 00:d0:b7:84:fd:46
        inet 217.20.183.121 netmask 0xfffffffc broadcast 217.20.183.123
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
Почта должна идти с: 217.20.183.121
Но инет юзерам должен раздавться с: 92.60.187.177
Для почты специально протянули отдельную линию, т.к. идут большие почтовые рассылки.

Спасибо.

Re: Нужна помощь с bind

Добавлено: 2012-07-06 13:00:23
schizoid
а. у вас почтовик и шлюзом за одно выступает....это не есть гут на самом деле.

Re: Нужна помощь с bind

Добавлено: 2012-07-06 13:02:24
schizoid
ну на самом деле можно настроить на сервере или шлюз по-умолчанию через fxp0, а народ НАТить через em0. Или как-то сам сервак НАТить в другой канал.
сейчас сгоняю на обед и посмотрю более внимательно

Re: Нужна помощь с bind

Добавлено: 2012-07-06 13:06:57
yurko-i
schizoid писал(а):ну на самом деле можно настроить на сервере или шлюз по-умолчанию через fxp0, а народ НАТить через em0. Или как-то сам сервак НАТить в другой канал.
сейчас сгоняю на обед и посмотрю более внимательно
Да, шлюз и является почтовиком. Не гуд канешно, но пока вариантов других нет.
Хотя у меня на работе стоял много лет, полет нормальный, пока он не сгорел.
Потом канешно разнесли на разные тачки.

Большое спасибо за помощь.

Re: Нужна помощь с bind

Добавлено: 2012-07-06 14:04:48
schizoid
покажите как вы НАТите свою сеть.
думаю проще всего будет так:
на сервере шлюз по-умолчанию через fxp0, а народ НАТить через em0

Re: Нужна помощь с bind

Добавлено: 2012-07-06 14:34:46
yurko-i
Вот ipfw

Код: Выделить всё

add 1040 allow ip from any to any via em1
#add 1041 allow ip from any to any via sk2

add 1070 deny log ip from any to 172.16.0.0/12 in recv em0
add 1080 deny log ip from 172.16.0.0/12 to any in recv em0
add 1090 deny log ip from any to 10.0.0.0/8 in recv em0
add 10100 deny log ip from 10.0.0.0/8 to any in recv em0
add 10110 deny log ip from any to 169.254.0.0/16 in recv em0
add 10120 deny log ip from 169.254.0.0/16 to any in recv em0

add 1070 deny log ip from any to 172.16.0.0/12 in recv fxp0
add 1080 deny log ip from 172.16.0.0/12 to any in recv fxp0
add 1090 deny log ip from any to 10.0.0.0/8 in recv fxp0
add 10100 deny log ip from 10.0.0.0/8 to any in recv fxp0
add 10110 deny log ip from any to 169.254.0.0/16 in recv fxp0
add 10120 deny log ip from 169.254.0.0/16 to any in recv fxp0

#Mail
add 10150 allow tcp from any to me 25 in via fxp0
add 10151 allow tcp from any to me 110 in via fxp0

# Incoming Pings
add 35 allow icmp from any to me icmptypes 8 in recv em0
add 35 allow icmp from any to me icmptypes 8 in recv fxp0
add 40 pass tcp from any to me 22
add 50 pass tcp from me 22 to any

add 60 pass udp from any to me 53
add 70 pass udp from me 53 to any

add 80 pass tcp from any to me 21
add 90 pass tcp from me 21 to any

nat 1 config log if em0 reset same_ports deny_in
nat 2 config log if fxp0 reset same_ports deny_in

nat 25 config redirect_port tcp 192.168.1.1:110 217.20.183.121:110 redirect_port tcp 192.168.1.1:25 217.20.183.121:25
nat 26 config same_ports redirect_addr 192.168.1.1 217.20.183.121 redirect_port tcp 192.168.1.1:25 25


add 901 nat 25 tcp from any to 217.20.183.121  110 recv fxp0
add 900 nat 25 tcp from any to 217.20.183.121  25 recv fxp0
#add 902 nat 25 tcp from any to 217.20.183.121  1727,1749,1757,2638,3000,3425 recv fxp0
add 910 nat 25 tcp from 192.168.1.1 110 to any

#######
add 912 nat 25 tcp from 192.168.1.1 25 to any
add 914 nat 26 tcp from any to 217.20.183.121 recv fxp0 in
add 915 nat 26 tcp from 192.168.1.1 to any 25 out xmit fxp0


add 10160 nat 1 ip from any to any via em0

#Deny all
add 65534 deny log all from any to any
Тут чего-то не срабатывает проброс 110-го и 25-го портов именно из локальной сети, снаружи вроде работает. Думаю если заставить их работать, то все забегает. Хотя х.з.

Re: Нужна помощь с bind

Добавлено: 2012-07-06 15:10:07
schizoid
попробуй вместо своих НАТов и порт-редиректов, они не нужны

Код: Выделить всё

${fwcmd} nat 100 config ip 92.60.187.177
${fwcmd} add nat 100 ip from 192.168.1.0/24 to any
${fwcmd} add fwd 92.60.187.178 ip from 92.60.187.177 to any
${fwcmd} add nat 100 ip from any to 92.60.187.177 via em0
ну и для шлюз шлюз по-умолчанию через fxp0

Re: Нужна помощь с bind

Добавлено: 2012-07-06 15:29:22
yurko-i
schizoid писал(а):попробуй вместо своих НАТов и порт-редиректов, они не нужны

Код: Выделить всё

${fwcmd} nat 100 config ip 92.60.187.177
${fwcmd} add nat 100 ip from 192.168.1.0/24 to any
${fwcmd} add fwd 92.60.187.178 ip from 92.60.187.177 to any
${fwcmd} add nat 100 ip from any to 92.60.187.177 via em0
ну и для шлюз шлюз по-умолчанию через fxp0
Извините, но немного не понял идеи. :oops:
Шлюз по умолчанию где в rc.conf или у юзеров? У юзеров у меня стоит 192.168.1.1

Re: Нужна помощь с bind

Добавлено: 2012-07-06 15:31:11
schizoid
шлюз по-умолчанию в rc.conf, что бы сам сервер шел через тот канал. а юзеров натить в другой.

Re: Нужна помощь с bind

Добавлено: 2012-07-06 19:24:32
yurko-i
Кажись победил.
Спасли НАТ + редиректы.
Всем откликнувшимся большое спасибо.
2 schizoid отдельный респект и уважуха.
Очередной раз выручил этот форум.

Re: Нужна помощь с bind

Добавлено: 2012-07-09 15:38:22
yurko-i
Блин похоже рано радоваться.
Не работает проброс портов.
Письма приходят от defaultrouter = 92.60.187.177
Все выходные бился с НАТом но так и не победил.
Т.е. входящие пакеты переадресовываются, а исходящие так и не смог заставить уходить через нужный интерфейс.
Посему прошу помощи. Собственно как заставить уходить почту через интерфейс недефоултного шлюза.
Сейчас фаервол выглядит так:
ipfw

Код: Выделить всё

add 1040 allow ip from any to any via em1
#add 1041 allow ip from any to any via sk2

add 1070 deny log ip from any to 172.16.0.0/12 in recv em0
add 1080 deny log ip from 172.16.0.0/12 to any in recv em0
add 1090 deny log ip from any to 10.0.0.0/8 in recv em0
add 10100 deny log ip from 10.0.0.0/8 to any in recv em0
add 10110 deny log ip from any to 169.254.0.0/16 in recv em0
add 10120 deny log ip from 169.254.0.0/16 to any in recv em0

add 1070 deny log ip from any to 172.16.0.0/12 in recv fxp0
add 1080 deny log ip from 172.16.0.0/12 to any in recv fxp0
add 1090 deny log ip from any to 10.0.0.0/8 in recv fxp0
add 10100 deny log ip from 10.0.0.0/8 to any in recv fxp0
add 10110 deny log ip from any to 169.254.0.0/16 in recv fxp0
add 10120 deny log ip from 169.254.0.0/16 to any in recv fxp0

# SSH
add 10122 allow tcp from 77.90.196.58 to me 22 in via em0
add 10122 allow tcp from 178.150.218.154 to me 22 in via em0
add 10122 allow tcp from 192.168.1.124 to me 22 in via em0
add 10122 allow tcp from 192.168.1.126 to me 22 in via em0
add 10122 deny tcp from any to me 22 in via em0
#Mail
add 10150 allow tcp from any to any 25 in via fxp0 setup keep-state
add 10151 allow tcp from any to any 110 in via fxp0 setup keep-state
#add 10150 allow tcp from any to me 25 in via em0
#add 10151 allow tcp from any to me 110 in via em0


# Incoming Pings
add 35 allow icmp from any to me icmptypes 8 in recv em0 keep-state
add 40 allow icmp from any to me icmptypes 8 in recv fxp0 keep-state

#add 40 pass tcp from any to me 22
#add 50 pass tcp from me 22 to any

add 60 pass udp from any to me 53
add 70 pass udp from me 53 to any

add 80 pass tcp from any to me 21
add 90 pass tcp from me 21 to any

nat 1 config log if em0 reset same_ports deny_in redirect_port tcp 217.20.183.121:25 25 redirect_port tcp 217.20.183.121:110 110

#nat 25 config redirect_port tcp 192.168.1.1:110 217.20.183.121:110 redirect_port tcp 192.168.1.1:25 217.20.183.121:25
#nat 26 config same_ports redirect_addr 192.168.1.1 217.20.183.121 redirect_port tcp 192.168.1.1:25 25


#add 901 nat 25 tcp from any to 217.20.183.121  110 recv fxp0
#add 900 nat 25 tcp from any to 217.20.183.121  25 recv fxp0
#add 910 nat 25 tcp from 192.168.1.1 110 to any
#add 912 nat 25 tcp from 192.168.1.1 25 to any
#add 914 nat 26 tcp from any to 217.20.183.121 recv fxp0 in
#add 915 nat 26 tcp from 192.168.1.1 to any 25 out xmit fxp0

add 10150 nat 1 tcp from 192.168.1.0/24 to any 25,110 out recv em0 out xmit fxp0
add 10160 nat 1 ip from any to any via em0


#Deny all
add 65534 deny log all from any to any
Спасибо.

Re: Нужна помощь с bind

Добавлено: 2012-07-12 15:29:09
yurko-i
Разрулил все через setfib.
Спасибо всем откликнувшимся.