forum.lissyara.su

Переместил рабочий сервер с Exim-ом с белым айпи за НАТ, все работает, кроме одного:
Ко мне приходят письма типа с моего шлюза(ну подмена IP), в результате грейлист и мои блеклисты пошли лесом.
Как правильно настроить шлюз без подмены ip, что бы мой почтовик(192.168.1.2) видел реальные IP отправителей?

Простите за глупые вопросы

Натить не надо, надо редиректить на внешнем вашего шлюза, а изнутри натить.

ацл, где проверяем отправителя. Если отправитель локальный, то обязательна авторизация, иначе - в лес.

для редиректа я юзаю rinetd.
Че-то не отрабатывает

Используйте хоть горшок. На внешний интерфейс вашего почтовика запросы с каким src приходят?

я немного не правильно обьяснил.
Суть проблемы в том что редиректить я редирекчу, но екзим получает пакеты с src address - 192.168.1.1
А мне нужно чтобы при редиректе src address не изменялся
Пробовал Datapipe, Rinetd, все они заменяют src address

ну так что вы тогда хотите?
зачем эти костыли в виде Datapipe, Rinetd и прочей лабуды?
Например на pf это 2 строки (одна редирект, вторая нат), аналогично на ipfw, аналогично на ipf, аналогично в ipnat.
На костылях сильно не побегаешь.

Просто всю жизнь юзал Ринетд, и проблем небыло, я даже не думал какой там src address а какой dst address, не было нужды...
А щас..))) лажа получилась.

Спасибо за совет буду ковырять свой ipfw.

werder31 писал(а):Просто всю жизнь юзал Ринетд, и проблем небыло, я даже не думал какой там src address а какой dst address, не было нужды...
А щас..))) лажа получилась.

Спасибо за совет буду ковырять свой ipfw.

Нахрена тот ринетд если ipfw уже есть????

Тут не столько ipfw, сколько natd/kernel nat (ну или любой другой демон, умеющий DNAT) нужен.

Это сильное замечание "по сути"...давайте картошку будем называть "родом паслёновых"...у него она уже посажена..

Ему dnat не надо, ему надо REDIRECT внутрь с сохранением src, и НАТ наружу с подменой src (SNAT). А ?????

То, что вы описали, как раз и называется DNAT.

Ну никак Вы не уйметесь:
Вырезка из ГУГЕЛА И ПЕДОВИКИ:

Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.

Ему dnat не надо, ему надо REDIRECT внутрь с сохранением src, и НАТ наружу с подменой src (SNAT). А ?????

Хотя, если вы хотите окончательно запутать человека, тода, вы правы:
К терминологии iptables ближе всего: Вам нужен dnat пакетов на внешнем интерфейсе адресовваных вашему роутеру из внешней сети на почтовый сервер и snat ответных на внутреннем интерфейсе роутера.
Хотя проще в понимании - редирект снаружи и нат изнутри.

mak_v_ писал(а):Ну никак Вы не уйметесь:
Вырезка из ГУГЕЛА И ПЕДОВИКИ:

Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.

Ему dnat не надо, ему надо REDIRECT внутрь с сохранением src, и НАТ наружу с подменой src (SNAT). А ?????

Причём тут SNAT? Разве SNAT обеспечит ему работу проброса портов? А вот DNAT (выражаясь терминами iptables) - да. И последнее: если у хоста есть выход в инет, значит правило NAT'a (SNAT'a) для него уже есть и не надо на это указывать. Как итог - требуется только правило проброса, то есть DNAT'a, что собственно я и написал
Застрелитесь своей википедией - это уже давно не авторитетный источник.

Приведите отличие DNAT'a от проброса портов через firewall и тогда, возможно, я изменю своё мнение.

ПС. Только супер-параноики прописывают на каждый отдельный хост отдельное правило NAT'a.

Не факт, если есть "выход в тырнеты" - прокси или к примеру альтернативный шлюз. Продолжаем запутывать!
Только параноики ????? ДМЗ??? а если адрес в единственном экземпляре, а сервисов (серверов) внутри много????
Вобщем прилипите пожалуйста iptables с их терминологией к freebsd и решите задачу.
Если брать терминологию более "родных" ipfw, pf, ipf - то это redirect+nat, если брать терминологию iptables - dnat+snat... именно в таком порядке.
Вобщем придумайте что-то позаковыристей ещё - например маскарадинг давайте запилим, раз уж по iptables прошлись.

рекомендую вот этому товарищу втолковать, что dnat не будет работать, при манипуляциях только на его "тазике". А при манипуляциях ещё и на "том" тазике...возможно можно будет сделать костыль с несколькими "dnat+snat" http://forum.lissyara.su/viewtopic.php?f=4&t=40397
Там вдоволь можно наразворачиваться с соурсами и дестинейшнами, если не добавлять адресное пространство.

1) Нужен был проброс - я указал, как именно это сделать, без лишней воды. Краткий ответ на заданный вопрос.
2) Почитайте, что вы пишите (вместо того, что бы придалбываться ко мне, лучше думайте то, о чём сами пишите):

mak_v_ писал(а): Например на pf это 2 строки (одна редирект, вторая нат), аналогично на ipfw, аналогично на ipf, аналогично в ipnat.
На костылях сильно не побегаешь.

Да, через pf проброс можно сделать, но вот через ipfw (чистый, без kernel nat/natd/...), а так же через ipf (тоже чистый, если уж вы разделили ipf и ipnat) - нельзя. Вот интересно, как можно это сделать отдельно в ipf и ipnat, если это делается аналогично ipfw?
3) Касательно терминов SNAT/DNAT - просто в iptables эти термины одновременно являются и ключевыми словами в синтаксисе, но не то, что эти термины применяются только там и нигде больше нельзя их применить. А то что, вы этого не понимаете (или не хотите) - ваши проблемы.

Вас больше всего задело то, что вы написали столько текста (и куча терминов: pf, ipfw, ipf, ipnat) и вас после этого поправили (). После этого вы начали писать как непонятно что, особенно много текста про SNAT (о котором вообще упоминаний не было). Успокойтесь наконец-то, если не можете аргументировано доказать свою правоту.
Хотите опровергнуть - сделайте это (больше технического текста, особенно, что такое, чем отличается, что означает термин, почему DNAT это не "проброс" - тоже технически, а не вольный мыслитель, ...). Не хотите - не пишите всякой гадости, это засоряет форум: из 10-ти сообщений в теме 1 только по теме (то, что я привёл во втором пункте).

Добрый день
Я Вас прошу не ссоритесь, вопрос уже давно решен (ipfw+kernel Nat)
Спасибо за подсказки!!