информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаПортрет посетителяСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft сообщила о 44 миллионах... 
 Множественные уязвимости в VNC 
 Шестой Perl превратится в Raku,... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Так сложилось исторически. (с)... 07.04.08 11:02  Число просмотров: 2829
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
<networking>
Порт-мэппинг. 06.04.08 18:53  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Ситуация: есть АДСЛ-модем D-link DSL-2500U в режиме роутера, за ним стоит роутер на ФриБСД, за ним -- сервер с Иксченджем. Нужен доступ к его СМТП и веб-морде. То есть, я так понимаю, что нужно сделать проброс порта 25, обращение к которому идёт на модем, на порт 25 на фришный роутер, а потом уже на 25-й порт сервера с Иксченджем, то же самое проделать с портом 443. Вопрос, собсна: насколько верным будет проделать всё это с помощью такого рулеза для фришного файрволла:

ipfw add 100 allow tcp from any to 212.212.212.212 25 via xl0

где 212.212.212.212 -- условный адрес почтового сервера, а xl0 -- внутренняя сетевуха.

ЗЫ С порт-мэппингом раньше не сталкивался. :( Отношения с Фрёй можно определить как сложные.
По-моему, ларчик открывался просто. 12.04.08 18:13  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Грёбаный провайдер тупо режет 25-й порт. В понедельник забегу в офис, гляну, что там.
Хм. 11.04.08 11:05  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Бред какой-то творится. Долго провозился с НАТом на фре, после чего пришёл к выводу, что НАТ таки нужен.

Проделал следующее:

В natd.conf:

same_ports yes
use_sockets yes

# Mail server
redirect_port tcp 192.168.8.5:25 25
redirect_port tcp 192.168.8.5:443 443


Далее запускаю рулезы для файрволла:

ipfw add 100 allow tcp from any to 192.168.8.5 via rl1 dst-port 25
ipfw add 101 allow ip from 192.168.8.5 to any via rl1 dst-port 25
ipfw add 102 allow tcp from any to 192.168.8.5 via rl1 dst-port 443
ipfw add 103 allow ip from 192.168.8.5 to any via rl1 dst-port 443

Где 192.168.8.5 -- адрес почтовика, rl1 -- внутренний интерфейс фришного роутера, порты 25 -- СМТП, 443 -- для веб-морды.

Так вот. Веб-морда доступна из Интернета, к ней можно достучаться по телнету, а вот СМТП -- никак. Не могу отправить почту наружу (письмо возвращается с пометкой Delivery to the following recipients has been delayed), не могу принять ничего снаружи (Relaying denied. Proper authentication required.. We recommend contacting the other email provider for further information about the cause of this error.)

ЗЫ Не получается у меня как-то think BSD. :( Почему одинаковые команды, заданные для двух портов, в первом случае срабатывают, а во втором нет?
шлюз на почтовике прописан? 11.04.08 14:31  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 12.04.08 11:39  Количество правок: 1
<"чистая" ссылка>
им должен быть сервер BSD.
> Далее запускаю рулезы для файрволла:
чуть не так должны они выглядить:
ipfw add 100 allow tcp from any to 192.168.8.5 via rl1 dst-port 25
ipfw add 101 allow ip from 192.168.8.5 to any via rl1 SRC-port 25
ipfw add 102 allow tcp from any to 192.168.8.5 via rl1 dst-port 443
ipfw add 103 allow ip from 192.168.8.5 to any via rl1 SRC-port 443

> Так вот. Веб-морда доступна из Интернета, к ней можно
> достучаться по телнету, а вот СМТП -- никак. Не могу
> отправить почту наружу (письмо возвращается с пометкой
> Delivery to the following recipients has been delayed), не
> могу принять ничего снаружи (Relaying denied. Proper
> authentication required.. We recommend contacting the other
> email provider for further information about the cause of
> this error.)
веб-морда точно доступна? или открыт порт? (это ведь может быть https от модема)
Ну уж Иксченджевское междумордие я ни с чем не спутаю... :) 11.04.08 19:41  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
правильней сделать - ДМЗ сервак. на него ОВА+СМТП прокси. 07.04.08 14:47  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Зачем туда СМТП прокси? 07.04.08 18:01  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
В исходном посте было требование - СМТП гнездо. Я планировал с учетом одного ИП (имени) для схожих сервисов. Хотя, возможно, обойтись и без прокси. 09.04.08 11:36  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Страсть к перфекционизму неизлечима. :) 07.04.08 14:54  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Правильнее, оно, конечно, правильнее, но предлагаю исходить из того, что меняться схема не будет.
если я правильно понял 07.04.08 11:54  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
... то NAT есть на модеме, который локальный адрес транслирует в реальные и второй NAT на фре, который локальные адреса компов подменяет своим локальным.
Можно пробросить порт с модема прямо на Exchange, а можно и через фрю.
Чтобы через фрю нужно запускать NAT на фре приблизительно так:
/sbin/natd -f /etc/natd.conf -n <NATD_INTERFACE> -dynamic
а в файле natd.conf следующее
same_ports yes
use_sockets yes
dynamic yes
redirect_port tcp <EXCHANGE_IP>:25 25
redirect_port tcp <EXCHANGE_IP>:110 110
redirect_port tcp <EXCHANGE_IP>:80 80
redirect_port tcp <EXCHANGE_IP>:443 443
80/443 для Web/SSL, 25, 110 для SMTP/POP3
эти же порты нужно пробросить и на модеме.

З.Ы. Два NAT не очень хорошая идея. Лучше модем перевести в режим бриджа (если возможно), а главным роутером с реальным IP сделать фрю.
в данном случае -- тот, который смотрит на модем или в локалку? 07.04.08 14:44  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
тот, который смотрит на модем 07.04.08 14:48  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
D-Link или FreeBSD имеют реальный (IANA) IP адрес? 06.04.08 23:48  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Реальный адрес есть у модема. 07.04.08 10:05  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Если и модем, и фрибсд просто роутят, то у почтового сервера... 06.04.08 21:29  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Если и модем, и фрибсд просто роутят, то у почтового сервера должен быть реальный ИП-адрес, чтобы он был доступен из интернета. Тогда никакого "порт-форвардинга" не надо. И этого правила будет достаточно (только в конце "setup" надо дописать).
Но, я так подозреваю, то всё немного не так, и где-то есть NAT. А то и два.
Да, два НАТа -- на модеме и на роутере. 07.04.08 10:06  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
нафига? 07.04.08 10:43  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Так сложилось исторически. (с)... 07.04.08 11:02  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Раз отношения с фрей сложные, предлагаю... 07.04.08 11:40  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 07.04.08 11:41  Количество правок: 1
<"чистая" ссылка>
Использовать Фрю как роутер с брандмауэром между локальной подсетью D-Link + FreeBSD и подсетью FreeBSD + LAN (Exchange).
Желательно на Фре иметь два сетевых интерфейса и NAT на ней можно отключить за ненадобностью.

Для этого потребуется на ADSL модеме:
1. В таблице маршрутизации прописать шлюзом в LAN(Exchange) интерфейс FreeBSD, смотрящий на модем.
2. Прописать проброс 25-го порта с внешнего интерфейса сразу на IP адрес почтового сервера.

На FreeBSD:
1. Настроить правила для IPFW типа:
ipfw add allow tcp from any to any established
ipfw add allow tcp from any to msxchg 25 via xl0 setup
ipfw add allow tcp from msxchg to any 25 via xl1 setup
У фри два интерфейса, а модем (как правило) умеет делать NAT... 07.04.08 20:15  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 07.04.08 20:16  Количество правок: 1
<"чистая" ссылка>
> Использовать Фрю как роутер с брандмауэром между локальной
> подсетью D-Link + FreeBSD и подсетью FreeBSD + LAN
> (Exchange).
> Желательно на Фре иметь два сетевых интерфейса и NAT на ней
> можно отключить за ненадобностью.
У фри два интерфейса, а модем (как правило) умеет делать NAT только для сети которая раполагается за модемом (куда воткнут первый интерфейс фри). Вся же локалка подключена ко второму интерфейсу, где своя адресация. Поэтому невозможно отказаться от NAT на фре.
Это если я правильно понял схему ;-)
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach