Архив форумов ЦИТФорума

[green_forest]

Есть файрвол по линухом, и есть внутренний почтовик тоже под ним.
Не приходят письма извне.
Делал PREROUTING на IPTABLES (не уверен)
Есть какие то мысли?

[and3008]

Ты сам себе противоречишь. Почтовик внутренний, а писем ждешь извне. Это как они к тебе прийдут? Голубиной почтой?

Внешние серваки знают где твой сервер? Для этого должна быть запись в DNS.

Серваку иногда нужно рассказать, чтоб принимал почту от внешних хостов.

Версию дистрибутива в студию и ответы на мои вопросы.

[green_forest]

спасибо за ответ.
запись в DNS провайдера есть, все идет на IP файрвола.
Версия - 7.1 (ядро 2.4.1, почта под sendmail 8.12.2
iptables 1.2.5
Я думал, достаточно наваять правила типа: бери входящие пакеты TCP:25 и кидай на внутреннюю сеть 192.168.ы.ы

[Evgeniy]

На DNS-сервере cделай МХ-запись.. ну и пропиши, чтобы firewall пропускал пакеты. Все нормально будет

[green_forest]

Догда вопрос номер два.
У меня на файрволе стоит bind-9.1, два сетевых адаптера, естественно.
Нужно ли запускать две копии вишеуказаного?
Просто розвязка по именам работает только по внутренним адресам.
И про MX детальнее, если можно.

[Dmitry.Karpov http://www.]

Большинство демонов (NameD, SendMail) слушают сразу все интерфейсы, так что достаточно одного экземпляра.

А вот просто прокидывать пакеты недостаточно, т.к. ответ от почтового сервера если и придет, то с обратным адресом 192.168.ы.ы, что не есть хорошо. Вообще-то тут нужен NAT со статическим мапированием 25-го порта.

[green_forest]

у меня следующте настройки файрвола
...
iptables -A PREROUTING -i eth0 (интернет) -p tcp --dport 25 j Dnat --to-destination 192.168.ы.ы
...
iptables -A POSTROUTING -o eth0 (интернет) -j Snat --to x.x.x.x (маскарад)
...
Может че не так?

[and3008]

Я с iptables не ковырялся. Отправляю тебя к Advanced Routing HowTo.

bind будет слушать все интерфейсы, если не указано иное. man named.conf Там все написано.

Тебе нужно принимать входящие соединения, перебрасывать на внутреннюю машину, а исходящие пакеты маскарадить. Вроде бы так должно это работать...
Там в iptables нужно как-то помечать нужные пакеты, а потом скармливать их iproutes.
Не уверен. Все подмывает попробовать, да все на ядро 2.4.Х никак не переползу...

[green_forest]

Спасибо за совет, хавту стянул, читаю.

Мне кажется, проще настроить нормально DNS, сейчас он ничерта неотсвечивает, только как кеширующий работает.

Еще столкнулся с проблемой теста извне (тот же сендмейл и тд). Как можно изловчиться тестировать извне?

Доступ с другого места и тд не предлагать

[and3008]

Я обычно имею несколько друзей за пределами моей сети. Координируя их действия по Аське я нахожу проблемы в своей сети.

Есть где-то серваки с открытыми телнетами. Но их искать где-то надо...
Не, не крэкать. Есть серваки такие. Но что-то я не удосуживался их поиском.

[anthony]

Лезешь в инет и на гугле ищешь прогу под названием redir - она у меня на файерволе линуховом (кстати, тоже RH7.1) бегает и делает redirect портов на виндовую тачку (а там почтовик, терминальный сервак, ну, и в этом духе...). И все работает как в аптеке! ПРога маленькая и шустрая, каких либо проблем еще ниразу не возникало!

[Dmitry.Karpov http://www.]

Первый способ - очевидный и довольно дурацкий:
Прописать на своей машине в качестве DNS-сервера какую-то внешнюю машину с работающим BIND'ом и тестировать. Плохо то, что W'3.x/9x/NT при изменении настроек требуют перезагрузки.

Правильный способ:
запустив nslookup, надо дать команду
server DNS-сервер
и после этого вводить тестируемое имя.
'man nslookup' - оно рулеззз.