Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Brak dostępu w sieci lokalnej do serwera poczty
#1 2012-09-11 14:57:28
hello_world - 
Członek DUG
- hello_world
- Członek DUG
- Skąd: Rymanów Zdrój
- Zarejestrowany: 2010-06-03
- Serwis
Brak dostępu w sieci lokalnej do serwera poczty
Cześć,
Mam problem (prawdopodobnie z iptables) z pocztą wewnątrz sieci.
Schemat jest taki:
Na klientach w LANie jak ustawię adres ip zewnętrzny bramki (która DNAT-uje porty związane z email )to w wewnętrznej sieci nie mam połączenia z serwerem.
Na zewnątrz wszystko jest w porządku (DNAT-owanie działa).
Jestem zmuszony do ustawienia w klientach pocztowych adresu z sieci lokalnej i to również działa.
Problem zaczyna się gdy ktoś przynosi jakiegos ipada i ma wpisane serwer pocztowy po adresie MX i podlączy się do lokalnej sieci, wtedy przestaje.
Jak wpisałem regułę
Kod:
iptables-t nat -I PREROUTING -i LAN -d IP_WAN --dport 25 -j DNAT --to-destination SERVER-POCZTY_W LANIE:25
to jak netcatuje port 25 z sieci LAN na adres zewnętrzny to jakiś czas nasłuchuje po czym jest time out
Ostatnio edytowany przez hello_world (2012-09-11 14:58:08)
Offline
#2 2012-09-11 16:54:26
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Brak dostępu w sieci lokalnej do serwera poczty
Kod:
-d IP_WAN
Jak chcesz łapać wszystkie połączenia na port docelowy 25, to po co dopasowanie adresu docelowego IP_WAN?
Przecież, jak z LANu leci połączenie np na poczta.onet.pl:25 to firewall nie dopasuje tego do IP_WAN, bo w DNS poczta.onet.pl nie ma adresu twojego IP_WAN.
I fakt, że routing leci przez IP_WAN nic tu nie zmienia, bo żaden normalny firewall nie myli hosta docelowego z adresem routera, który wisi w tablicy routingu.
A samo lapanie polączeń SMTP w ten sposób też jest sprawa dyskusyjna, bo jeśli jakiś IPAD spróbuje wysyłania poczty z autoryzacją, przez Twój serwer, myśląc, ze gada z onetem, to przy okazji otwiera możliwość przechwycenia hasła do cudzej poczty.
Wystarczy wymusić autoryzację plain, wyłączając {CRAM|DIGEST}MD5.
Teoretycznie fajna zabawa, ale podpada pod paragraf.
Oczywicie Ipad może coś miauczeć, ze się cert nie zgadza (jak spróbuje STARTTLS), ale większość użyszkodników nie wie, jak działa ssl, i nawet do banku potrafią kliknąć akceptacje certyfikatu, jak przeglądarka alarmuje, że się np cert Citibanku nie zgadza.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2012-09-11 17:16:17)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2012-09-11 20:18:05
hello_world - Członek DUG
- hello_world
- Członek DUG
- Skąd: Rymanów Zdrój
- Zarejestrowany: 2010-06-03
- Serwis
Re: Brak dostępu w sieci lokalnej do serwera poczty
@Jacekalex
Myślę, że wpis:
Kod:
iptables-t nat -I PREROUTING -i LAN -d IP_WAN --dport 25 -j DNAT --to-destination SERVER-POCZTY_W LANIE:25
oznacza:
1) wszystko co wchodzi na interfejs LAN-owski z przeznaczeniem do adresu WAN bramy (czyli de facto ip MX) z destination port 25 przenieś do serwera w lanie na port 25
Ale wydaje mi się że nie zrozumiałeś mojego problemu, więc postaram się zrobić schemat:
1)Jeśli zapytanie wychodzi z LAN do serwera MAIL po nazwie serwera zdefiniowanej w DNS to nie dochodzi. (nie rozumiem)
2)Jak zapytanie przychodzi z internetu (klient poczty ma ustawiony serwer poczty taki jak nazwa w DNS) to prawidłowo (rozumiem)
3. Jak zapytanie jest zdefiniowane z LAN a klient poczty ma adres serwaera 192,168.0.50 to jest prawidłowo (rozumiem)
Dodaję jeszcze reguły iptables
Kod:
iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT
Kod:
iptables -S -t nat -P PREROUTING ACCEPT -P POSTROUTING ACCEPT -P OUTPUT ACCEPT -A PREROUTING -d IP_WAN -i eth0 -p tcp -m tcp --dport 993 -j DNAT --to-destination MAIL_SERWER:993 -A PREROUTING -d IP_WAN -i eth0 -p tcp -m tcp --dport 587 -j DNAT --to-destination MAIL_SERWER:587 -A PREROUTING -d IP_WAN -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination MAIL_SERWER:143 -A PREROUTING -d IP_WAN -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination MAIL_SERWER:25 -A PREROUTING -d IP_WAN -i eth1 -p tcp -m tcp --dport 143 -j DNAT --to-destination MAIL_SERWER:143 -A PREROUTING -d IP_WAN -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination MAIL_SERWER:25 -A PREROUTING -d IP_WAN -i eth1 -p tcp -m tcp --dport 993 -j DNAT --to-destination MAIL_SERWER:993 -A PREROUTING -d IP_WAN -i eth1 -p tcp -m tcp --dport 995 -j DNAT --to-destination MAIL_SERWER:995 -A PREROUTING -d IP_WAN -i eth1 -p tcp -m tcp --dport 587 -j DNAT --to-destination MAIL_SERWER:587 -A PREROUTING -s SIEĆ_LAN/24 -d IP_WAN -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination MAIL_SERWER:25 //To już moje fanaberie -A POSTROUTING -o eth1 -j MASQUERADE
Ostatnio edytowany przez hello_world (2012-09-11 20:38:35)
Offline
#4 2012-09-11 22:17:36
hello_world - Członek DUG
- hello_world
- Członek DUG
- Skąd: Rymanów Zdrój
- Zarejestrowany: 2010-06-03
- Serwis
Re: Brak dostępu w sieci lokalnej do serwera poczty
Sprawę rozwiązuje
$iptables -t nat -A POSTROUTING -o $LOCAL_IFACE -j SNAT --to-source $INET_ADDRESS
Na marginesie fajna stronka
http://easyfwgen.morizot.net/gen/
Ostatnio edytowany przez hello_world (2012-09-11 22:18:48)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Brak dostępu w sieci lokalnej do serwera poczty