Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Ages
Зарегистрирован: 22.03.2002 Сообщения: 42
|
Добавлено: Ср Авг 10 2005 11:43 Заголовок сообщения: Как сделать грамотно? |
|
|
День добрый, ситуация следующая:
Есть локальная сеть 192.168.0.0/24, есть шлюз 192.168.0.1 вторая сетевуха которого 10.0.0.1 смотрит в сеть провайдера 10.0.0.0/24.
На шлюзе Linux, iptables, NAT. Так же в локальной сети 192.168.0.0/24 есть почтовый сервак 192.168.0.11 (Linux, postfix).
Наш провайдер выделил нам внешний IP 195.195.195.195 и смаршрутизировал его на наш шлюз 10.0.0.1.
Так же есть доменное имя domain.ru в MX записи которого стоит mail.domain.ru и разрешается как 195.195.195.195.
Теперь, мне нужно было сделать так чтоб на мой почтовый сервак приходила почту с наружи. сделал я это следующим образом:
1) На шлюзе добавил статический маршрут:
route add -host 195.195.195.195 netmask 0.0.0.0 gw 192.168.0.11
2) На почтовом серваке сетевому интерфейсу с адресом 192.168.0.11 добавил еще один IP адрес 195.195.195.195
ifconfig eth0 add 195.195.195.195
Вроде все работает, но сам интуитивно понимаю что сделано это криво, а как сделать по другому не знаю. Поэтому просьба, подскажите плиз Как сделать грамотно? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Авг 11 2005 21:45 Заголовок сообщения: |
|
|
Ну да. Кривовато будет смотреться, если снаружи сделать traceroute на твой почтовый сервер. Будет видна часть твоей сети.
Если уж хочется сделать несколько лучше, то подними PAT на входе и NAT для исходящего трафика.
PAT -ом завернешь входящий трафик на порт 25, а NAT-ом будут прикрыты ответы почтового сервера.
Плюсы: Полностью скрываешь почтовый сервер. Снаружи будет доступен только порт SMTP. Меньше головной боли с безопасностью (одно дело патчить и следить за одним компом, другое дело, когда этих компов много). Экономишь IP-адреса. За отдельный IP с тебя небось капусточку срубили?
Минусы: Если почтовый трафик большой, то будет несколько большая нагрузка на пограничный роутер. |
|
Вернуться к началу |
|
|
Ages
Зарегистрирован: 22.03.2002 Сообщения: 42
|
Добавлено: Пт Авг 12 2005 03:56 Заголовок сообщения: |
|
|
а что такое PAT? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Авг 14 2005 18:58 Заголовок сообщения: |
|
|
PAT - Port Address Translation
Кротко как это работает:
Стоит роутер с одним IP. На нем настроено, что все входящие пакеты, пришедшие на такой-то порт перенаправлять на комп, который находится внутри сети.
Естественно, что компов может быть много. |
|
Вернуться к началу |
|
|
Ages
Зарегистрирован: 22.03.2002 Сообщения: 42
|
Добавлено: Пн Авг 15 2005 02:25 Заголовок сообщения: |
|
|
Понятно, это не что-то конкретно, а принцип организации... В моем случае я могу это раелизовать этот в iptables. Так? |
|
Вернуться к началу |
|
|
vvt
Зарегистрирован: 20.05.2004 Сообщения: 686
|
|
Вернуться к началу |
|
|
|