hogyan tudom megadni, hogy a belső hálóról mindent maszkoló (natolo) iptables 1 címre ne tegye ezt (smtp szerver)
konkrétan amiatt, kell, hogy az smtp szerver , ne 1 ip vel azonosítsa az összes klienset.
most mindegyik 10.0.0.20 nak látszik.
És mivel az smtp dnattal kapja meg a leveleket ,(iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 25 -j DNAT --to 10.0.0.1:25
) ezért a külső , spammelők is annak látszanak.
kösz és üdv
- 897 megtekintés
Hozzászólások
Lehet, hogy mások okosabbak, de én nem igazán értem.
Szerintem érthetőbb lenne mindenki számára, ha leírnád, hogy hol van az az smtp szerver (magán a tűzfalon, router mögött vagy iptables tűzfal mögött) és mit szeretnél megvalósítani (smtp szolgáltatás a lan gépei számára vagy az internet oldalon lévő kliensek számára)?
- A hozzászóláshoz be kell jelentkezni
az smtp a tűzfal mögött van.
a tűzfal van a netre kötve és a 25 ös portot átdobja a mögötte csücsülő smtp szervernek
A tűzfal belső lába 10.0.0.20. Emiatt minden levél a 10.0.0.20 ról jön az smtp számára.
Úgy a belső mint a külső levelek.
Viszont relayt a postfix alatt nem engedélyezhetek a 10.0.0.20 as címről jövő leveleknek mert rögtön openrelay leszek.
Ezért gondoltam, hogyha nem natolnám a belső gépeket, akkor minegyik a saját ip-jéről szólítaná meg a postfixet és így megadhatnám nekik a relayt
- A hozzászóláshoz be kell jelentkezni
Forward lancbol vedd ki azokat az ipket, amiknek nem akarsz natolni.
- A hozzászóláshoz be kell jelentkezni
minden ip-t szeretnék natolni, csak az smtp szerver ipje felé nem akarok.
nem elég valami olyan , hogy -d!smtp szerver ipje?
- A hozzászóláshoz be kell jelentkezni
Nem tudok ilyenrol, en ilyenkor alt. a fentit szoktam csinalni.
- A hozzászóláshoz be kell jelentkezni
Gondolom, hogy az smtp szerver és a belső kliensek egy logikai hálózatban vannak. Ekkor vizsont az smtp címére küldött csomagok nem mennek a routerre (gatewayre, ami ugye a tűzfal). Valószínűleg az smtp nincs bene a névfeloldásba. Mi lenne, ha a belső kliensek számára feloldanád az smtp-t az smtp IP-címére és ők így nem a tűzfalon keresztül jönnének vissza, hanem közvetlenül szólítanák meg az smtp szervert?
(Akár az összes belső gépen a loclhosts-ba felveszed az smtp szervert.)
- A hozzászóláshoz be kell jelentkezni
tehát, ha localbol tudnák,hogy ez a 10.76.76.76 akkor nem használnák a gatewayt és el sem jutnának a tűzfalig?
- A hozzászóláshoz be kell jelentkezni
Ha az adott subnetben van interface-e es tudja, hogy egy node vele azonos subnetben van (nevfeloldas utan tudna), akkor direkt az adott node-hoz fordul a kliens. Kiprobalni mindenkeppen megeri, a gateway-en meg tcpdump.
- A hozzászóláshoz be kell jelentkezni
Igen. De csak, ha egy logikai hálózatan vannak az smtp szerverrel.
Akkor vannak egy logikai hálózatban pl., ha a netmask 255.255.255.0 és az IP-címek csak az utolsó mezőben térnek el. Ez a legáltalánosabb.
- A hozzászóláshoz be kell jelentkezni
Hogy látszana már a tűzfal belső ip-jének, amikor csak a belső hálót kell natolnod.
Tehát
iptables -t nat -o ppp0 -s belsőháló -j MASQUERADE iptables -t natp -i ppp0 -p tcp -d router_külső_cime --dport 25 -j DNAT --to-destination belső_stmp_cime
Az elmondottak alapján az összes többi natos szabály felesleges.
A -j MASQUERADE helyett -j SNAT --to-source router_külső_cime is megfelelő.
- A hozzászóláshoz be kell jelentkezni
A megoldás a szolgáltató smtp szerverének használatbavétele lett!
Kicsit workaround , de megfelel nekem.
üdv
- A hozzászóláshoz be kell jelentkezni