#1 12.07.07 14:44
Организация форвардинга
Ребят, помогите разрулить такую тему...
нужно кароч организовать прием почты клиентам сети через проксик на линухе.. я решил самым простым способом сделать это - iptables разрулить..
я достал уже гугл своими запросами и маны все вкурил - форвардинг никера не работаит...
просто толком не пойму как цепочка FORWARD работает..
вот допустим надо мне с моего компа переслать запрос на smtp.mail.ru, то я должен вроде прописать
Код::
iptables -t filter -A FORWARD -p tcp -i eth0 -o eth1 -s 192.168.0.52 -d smtp.mail.ru --dport 25 -j ACCEPT
вроде примерно так.. но дамп мне такое вот выдает:
Код::
[root@linux ~]# tcpdump port 25 or 110 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 14:46:30.116105 IP 192.168.0.52.4731 > linux.smtp: S 28049485:28049485(0) win 16384 <mss 1460,nop,nop,sackOK> 14:46:30.136645 IP linux.smtp > 192.168.0.52.4731: R 0:0(0) ack 28049486 win 0 14:46:30.586103 IP 192.168.0.52.4731 > linux.smtp: S 28049485:28049485(0) win 16384 <mss 1460,nop,nop,sackOK> 14:46:30.586225 IP linux.smtp > 192.168.0.52.4731: R 0:0(0) ack 1 win 0 14:46:31.087138 IP 192.168.0.52.4731 > linux.smtp: S 28049485:28049485(0) win 16384 <mss 1460,nop,nop,sackOK> 14:46:31.087260 IP linux.smtp > 192.168.0.52.4731: R 0:0(0) ack 1 win 0
то есть пакеты "застревают" внутри.. вроде форвардинг в /proc включен...
значит все таки наверно я неправильно правило составил.. помогите епть.. а то я уже подумываю сменить моск и гражданство :(
Offline
#2 13.07.07 00:14
Re: Организация форвардинга
примета есть такая - если кто-то делает чушь и при этом рассказывает как долго он читал маны, то это значит что маны он не открывал вообще.
GreenDay написал(а):
просто толком не пойму как цепочка FORWARD работает..
применяется к пакетам, которые идут через box
GreenDay написал(а):
iptables -t filter -A FORWARD -p tcp -i eth0 -o eth1 -s 192.168.0.52 -d smtp.mail.ru --dport 25 -j ACCEPT
теперь пакетам с указанными параметрами "разрешено" проходить
чтобы было понятнее - это как табличка у воды "купаться можно" и "купаться запрещено". само по себе умения плавать не дает, да
наверное нужно включить snat в таблице nat, цепочке postrouting для полного счастья
Offline
#3 13.07.07 11:29
Re: Организация форвардинга
Matrim написал(а):
примета есть такая - если кто-то делает чушь и при этом рассказывает как долго он читал маны, то это значит что маны он не открывал вообще.
примета есть такая - линуксоиды вместо того, чтобы реально помочь стебаются над начинающими...
насчет SNAT тоже у меня было такое мнение, щас как испробуем чего и как..
З.Ы. http://www.opennet.ru/docs/RUS/iptables/ - про то что маны не читал, всего там изучил...
Offline
#4 13.07.07 12:04
Re: Организация форвардинга
есть несколько полезных принципов:
1. в манах и документации есть очень многое. буквально столько, что на форумах можно говорить или о багах, или о крайне шатких комбинациях.
2. чтобы понять что-то, нужно в этом разобраться. не пользоваться готовыми "рецептами", а понимать как это работает. у подхода есть полезное свойство, чем больше разбираешься, тем быстрее потом можешь разобраться в новом. "рецепты" такого эффекта не имеют.
3. время разобравшегося стоит дороже, чем время того, кто возится с простыми вещами.
Offline
#8 13.07.07 23:54
Re: Организация форвардинга
fetchmail и procmail тебе помогут
если лениво читать маны то вот описан твой случай (гыгы)
http://www.opennet.ru/base/net/procmail.txt.html
правда предполагается, что у тебя диалап (иначе нафига нужно внешнюю почту выгребать в локальную, если ее можно и так забрать), так что про диалап 3 строчки можешь не читать (ну если у тебя не диалап конечно, иначе читай все строчки), а прочитай остальные 6 (гыгы)
Offline
#9 14.07.07 00:10
Re: Организация форвардинга
интересно как же забирать эту почту? выход по модему имеет только один комп с линуксом.. на нем сквида висит.. ессно почту забрать никак не могу не настроив iptables или не придумав другой способ.. так что не смеемся, а предлагаем более удобные и правильные идеи..
Offline
#10 14.07.07 00:46
Re: Организация форвардинга
Max, вдумчивый анализ текста указывает на то, что нужен именно routing + snat
на это указывают следующие факты:
GreenDay написал(а):
вроде форвардинг в /proc включен...
(использована ортодоксальная методика включения ip forwarding через "echo 1 > ..." , вместо новмодного sysctl)
GreenDay написал(а):
вот допустим надо мне с моего компа переслать запрос на smtp.mail.ru
т.е. речь идет именно о пересылке запроса через шлюз на внешний почтовый сервер
вот тут есть отклонение от этой идеи:
GreenDay написал(а):
сть возможность как нить организовать свой.. хм.. почтовый серв и с майла на него перебрасывать почту, а потом по определенным ящикам раскидывать относительно того, откуда пришла почта...
что скорее всего вызвано осознанием безысходности
учитывая то, что на сервере
GreenDay написал(а):
сквида висит
можно сделать вывод, что соединение что-то вроде adsl
т.е. routing + snat (или masquerade, если внешний адрес не статический) должны полностью решить проблему.
GreenDay написал(а):
так что не смеемся, а предлагаем более удобные и правильные идеи..
правильная идея уже была - иди читай доки. если хочется, чтобы тебе все разжевывали - иди на курсы по linux и плати за свое образование
Offline
#11 14.07.07 10:38
#12 14.07.07 15:22
Re: Организация форвардинга
Matrim, повторюсь, беглый анализ вывода tcpdump показывает, что GreenDay пытается зацепиться не на smtp.mail.ru с внутренней машинки, а именно на linuxbox на порт 25
то есть человечек не пытается пользоваться маршрутизацией, он хочет использовать linuxbox именно как "прокси" в его понятии
на это же указывает текст
GreenDay написал(а):
как нить организовать свой.. хм.. почтовый серв и с майла на него перебрасывать почту, а потом по определенным ящикам раскидывать относительно того, откуда пришла почта...
то есть он хочет чтобы его почтовик забирал с внешнего сервака почту и рассовывал ее по локальным ящикам, и его совершенно не интересует, как сделат чтобы пользователи из внутренней сети могли сами забирать свою почту с того же mail.ru (именно для этого нужен был бы SNAT или MASQUERADE)
но это мы с тобой похоже играем в игру: "Угадай, что имел ввиду GreenDay", и, возможно, к проблеме функционирования почты это никакого отношения не имеет
Offline
#13 14.07.07 15:28
Re: Организация форвардинга
ну а отклонившись от столь интересной дискусии:
iptables -I FORWARD -j ACCEPT
iptables -I POSTROUTING -t nat -o ppp0 -j MASQUERADE (если у тебя pppoe с линукса запускается и модем в режиме бриджа работает) или
iptables -I POSTROUTING -t nat -o eth0 -j MASQUERADE если у тебя в инет смотрит eth0 (если не eth0 то подставь что там у тебя смотрит в инет)
и, думаю, дискуссия будет исчерпана
Offline
#14 14.07.07 15:43
#15 14.07.07 16:24
Re: Организация форвардинга
Max, спс.. в понедельник все испробую..
kai, меня тоже посещала такая мысль, но имхо организовать просто форвард проще.. хотя и настройка почтовика в дальнейшем канеш пригодиться..
реализую сначала форвардинг, а потом уже почтовик свой попробую поднять..
З.Ы. сейчас почему то кеширующий серв не встает нормально, хотя на своем рабочем компе встал с теми же настройками нормально.. но это уже отклонение от темы.. :)
Offline
#16 14.07.07 18:43
#17 14.07.07 18:48
Re: Организация форвардинга
Matrim написал(а):
о, у меня оффтоп
как в постфиксе настраивается smtp аутентификация?
У меня тоже оффтоп с таким же вопросом.
Offline
#18 14.07.07 19:14
#19 14.07.07 19:58
#20 14.07.07 20:34
Re: Организация форвардинга
GreenDay написал(а):
подскажи горе юзеру, где я говорил одно, а делал другое?
включаешь форвардинг между интерфейсами, а сам при этом говоришь про
GreenDay написал(а):
организовать свой.. хм.. почтовый серв и с майла на него перебрасывать почту
это разные вещи, да
Offline
#21 14.07.07 23:23
Re: Организация форвардинга
не, это я предложил как альтернативный вариант - просто форвардинг организовать проще.. а идея создать свой почтовик не столь актульна - ибо компания небольшая...
но вот на второй работе походу в августе придется свой почтовик организовывать - вот уж секаса многа буит :))
Offline
#22 15.07.07 00:22
#23 16.07.07 10:49
Re: Организация форвардинга
Max написал(а):
iptables -I FORWARD -j ACCEPT
iptables -I POSTROUTING -t nat -o ppp0 -j MASQUERADE (если у тебя pppoe с линукса запускается и модем в режиме бриджа работает) или
iptables -I POSTROUTING -t nat -o eth0 -j MASQUERADE если у тебя в инет смотрит eth0 (если не eth0 то подставь что там у тебя смотрит в инет)
ну тут вообще стопудов должен был пропускать, попробовал - все равно сцуко на бокс заходит и все :(
не пойму - может все же какие нить настройки еще нужны?
Исправлено GreenDay (16.07.07 10:50)
Offline
