forum.lissyara.su

Всем форумчанам привет!!
Возникла такая необходимость разделить Почтовик (FreeBSD 8.2) и шлюз в инет (FreeBSD 9.0) на разные машины.
Возможно ли реализовать почту на отдельной машине от шлюза, чтоб и локально и из вне работало? Есть у кого идеи или уже кто-нидь может реализовывал таким образом?
Нужен ли проброс портов через нат или достаточно в файрволе порты разрешить?
1я Машина:
FreeBSD 8.2, exim-4.77, dovecot-1.2.17.
Один локальный адрес: 192.168.2.222

2я Машина:
FreeBSD 9.0, файрвол (ipfw), natd, squid.
Один лок адрес: 192.168.1.222
Один внешний: 11.11.11.11

По сути нужно чтоб екзим и довекот (192.168.2.222) работали с внешкой через шлюз (192.168.1.222 и 11.11.11.11)

Можно, редирект и нат нужных портов

Порты же я бросаю только на шлюзе? На почтовике же ничего не надо?

Шлюз:
Снаружи - редирект портов на которых работают exim-4.77, dovecot-1.2.17 --->192.168.2.222
Изнутри - нат потртов на которых работают exim-4.77, dovecot-1.2.17 ---> 11.11.11.11

И конфиг экзима не надо ковырять? Почтовик просто получается на новый сервак съехал... Имена хостов в конфиге я уже поправил...

Спасибо за ответы большое Буду пробывать

Лучше так не делать (почтовик+редирект портов), могут быть проблемы с отправкой без авторизации.

Ещё можно на шлюзе также поднять exim и настроить его как smtp-relay для внутреннего.

Лучше так не делать (почтовик+редирект портов), могут быть проблемы с отправкой без авторизации.

Отправка без авторизации - это каменный век. Авторизация должна быть на smtp ВСЕГДА,если он выполняет функции релея в незамкнутой системе.

Так как Вы, ув.skeletor любитель поспорить - приведите хоть один пример где не обойтись без авторизации

Есть ПО (например, клиент-банки, не все конечно, но я с такими сталкивался), которое не умеет так работать (с авторизацией) и тянется оно из каменного века.

ПО, которое работает по СМТП, без авторизации, да ещё и банковское.....хмм....дайте хоть название банка.
А вообще в настройках смтп обычно можно указать "кому можно без авторизации". Например в exim это Ну а всем остальным с авторизацией..Я правильно мыслю?

Да, всё верно, мыслишь.
Так вот, если это ПО (не могу назвать, коммерческая тайна) стоит на шлюзе, а на почтовый сервак идёт редирект (и не дай бог использовать для этого redir), то мы получаем следующую картину (тоже из опыта):
пакеты пришедшие из мира будут иметь IP=локального интерфейса шлюза, а для него разрешена отправка без авторизации, и значит имеем открытый релей. Как итог - попадание в блэклисты обеспечено. И такое выяснить будет не просто.
Вывод - либо не делать пробросы, либо внимательно следить за тем, какой адрес имеют пакеты, которые пробросились внутрь сетки.
Касательно ситуации, я бы не сказал, что она очень частая, но и не очень редкая.

Имейте уважение, я Вам не тыкал.
Клиент банк, на шлюзе???
Клиент-банк на фре!!!!
redir -!!!!
Ужас
Ффффф- беред....это вы видать перепили, построив такую связку......

Ну да ладно...если ПО, шуршащее без авторизации на шлюзе - пусть оно шуршит смтп-сессии сразу "туды куды надо", а не внутрь на свой smtp.

Вы начинаете выдумывать какой-то неимоверный костыль. (Или вы его уже построили??!!!!!)
Клиентское ПО на сервере? на Шлюзе! Смтп без авторизации? фффф, Редирект как таковой (ipfw pf ipf ipnat iptabes ) не изменяет адреса источника src.
По поводу костыля redir - не курил такого.

пакеты пришедшие из мира будут иметь IP=локального интерфейса шлюза

Не будут, не БУ-ДУ-Т, если их не натить,
Нат Внутрь-снаружи в данной схеме - как рукав известному органу.
А вы видимо ещё и натите их....кошмар

окей, кэп
Читайте внимательнее, уважаемый. Где я писал, что я такое настраивал? Я писал то, с чем столкнулся (а это мне досталось от предыдущих).
Кто из нас ещё пил?

Продолжим тему: придолбайся к фразе
"зачем разбивать ipf и ipnat отдельно, при этом не разбивая отдельно, например pf и pfnat?"

Ещё больший бред начинаете писать и снова тыкать.
Имейте мудрость признать свою неправоту. На сим извольте откланяться.

Ребят, не надо ругаться из-за мелочи... У кого как настроено, это выбор настрающего...

А в целом я Вас понял... И очень соглашусь, с тем что не нужно мне изобретать костыли. Лучше оставлю все на одной фре, я не сторонник релеев, и как сказал Уважаемый mak_v_ действительно что попадание в блек листы обеспечены, я уже с этим сталкивался. Я сторонник безопасности и поэтому оставлю как делал (все на одном серваке) с железными правилами и натом.
Спасибо Вам всем за разъяснение и помощь, что нужно я понял. Форум отличный, как и форумчане... Еще раз спасибо Пошел пилить конфиги на один сервак!!

Ерунду какая-то. У самого почтовик в DMZ на сером адресе. Стоит шлюз, одной сетевухой в инет, второй в DMZ, третья - в локалку. Шлюз пробрасывает tcp-25 средствами ядерного NAT-а в DMZ. Почтовик принимает соединение - от адреса отправителя в инете (т.е. почтовик видит адреса типа 121.212.121.212). Не нужно никаких открытых релеев, почтовик проверяет fqdn, авторизацию средствами dovecot, прямые и обратные адреса чужих почтовиков, кому и кем отправляются письма и т.д., и всё работает как часы.

Shuba писал(а):Ерунду какая-то. У самого почтовик в DMZ на сером адресе. Стоит шлюз, одной сетевухой в инет, второй в DMZ, третья - в локалку. Шлюз пробрасывает tcp-25 средствами ядерного NAT-а в DMZ. Почтовик принимает соединение - от адреса отправителя в инете (т.е. почтовик видит адреса типа 121.212.121.212). Не нужно никаких открытых релеев, почтовик проверяет fqdn, авторизацию средствами dovecot, прямые и обратные адреса чужих почтовиков, кому и кем отправляются письма и т.д., и всё работает как часы.

Ну а я о чем? Я же ответами выше и пытался в этом убедить одного товарища.
А ему надо "приипаться к радио", да костыльные схемы свои поафишировать.

Shuba писал(а):Ерунду какая-то. У самого почтовик в DMZ на сером адресе. Стоит шлюз, одной сетевухой в инет, второй в DMZ, третья - в локалку. Шлюз пробрасывает tcp-25 средствами ядерного NAT-а в DMZ. Почтовик принимает соединение - от адреса отправителя в инете (т.е. почтовик видит адреса типа 121.212.121.212). Не нужно никаких открытых релеев, почтовик проверяет fqdn, авторизацию средствами dovecot, прямые и обратные адреса чужих почтовиков, кому и кем отправляются письма и т.д., и всё работает как часы.

Все верно говорите, посидел, покурил полчаса да и собрал как надо без релеев:) Теперь у меня почтовик отдельно, шлюз отдельно как и было в задаче!! Всем большое спасибо за ответы и помощь...