Главная » Форум » Gentoo Linux » Системное администрирование

DNAT или не DNAT ?

Heggi 15 июля, 2007 - 18:23

Схема простая: Инет - шлюз - почтовый/веб сервер с серым IP
На шлюзе весь SMTP трафик заруливается через mail-сервер:

iptables -t nat -A PREROUTING -p tcp -s 192.168.222.0/24 --dport 25 -j DNAT --to-destination 192.168.222.8

весь остальной SMTP траффик (внешний) делаю аналогично, но на другой IP-адрес mail-сервера:
iptables -t nat -A PREROUTING -p tcp -s 192.168.222.0/24 --dport 25 -j DNAT --to-destination 192.168.222.7

смотрю tcpdump'ом - пакеты приходят с серым IP шлюза (192.168.222.1) от локальных отправителей и с реальным IP от внешних отправителей.
А надо чтобы и от локальных приходило с их серыми адресами, а не адресом шлюза.

Можно как-то по-другому решить мою проблему (всмысле не DNAT'ом, а другими средствами)? Или я DNAT не правильно использую ?

‹ маршрутизация iptables Удаленный доступ через proxy [SOLVED] ›
»

NAT как раз и

Автор dif (не зарегистрирован), дата создания 15 июля, 2007 - 22:42.

NAT как раз и должен прятать их серые ип. так что крутись. нат не то, что надо

»

Почему тогда,

Автор Heggi, дата создания 16 июля, 2007 - 16:35.

Почему тогда, когда с реальных адресов (с нета) DNAT'ятся пакеты, адрес отправителя остается реальным ?
DNAT это NAT по адресу назначения, следовательно адрес отправителя трогать не должен.

»

есть нат по

Автор evadim, дата создания 16 июля, 2007 - 09:46.

есть нат по источнику, а есть по отправителю - может перепутал просто?

»

А разница

Автор Heggi, дата создания 16 июля, 2007 - 16:41.

А разница ?
Источник и отправитель не одно и то же ?)

»

наверное где то

Автор Mooseassster, дата создания 16 июля, 2007 - 10:42.

наверное где то SNAT или MASQUERADE стоит который и меняет адреса локальных машин на внутренний адресс шлюза.

»

Вот это вполне

Автор Heggi, дата создания 16 июля, 2007 - 16:37.

Вот это вполне возможно... буду седня ночью смотреть как через правила пакеты идут... (Знать бы еще как... в iptables трассировка есть?)

»

iptables -L -n -v -t nat

Автор Mooseassster, дата создания 17 июля, 2007 - 11:28.

iptables -L -n -v -t nat
смотри POSTROUTING - там только могут быть MASQUERADE и SNAT

»

реальник

Автор Daevy, дата создания 16 июля, 2007 - 15:25.

мне кажется стоит на второй интерфейс повесить реальник а на шлюзе разрешить форвардинг пакетов с внешнего мира на почтовик, типа
iptables -A FORWARD -s 0.0.0.0/0 -d <реальник> -p tcp --dport 25 -j ACCEPT
а для внутренних клиентов настройку можно убрать со шлюза, в настройках отлука или бата в качестве адреса сервака внести фейковый адрес почтовика

»

Я не могу 100

Автор Heggi, дата создания 16 июля, 2007 - 16:39.

Я не могу 100 пользователей заставить прописать в Бате вместо какого-нить smtp.mail.ru мой сервер.
А всяких спам-ботов как заставить???

Суть этой всей фигни, проверять ВСЮ исходящую почту на вирусы и спам, т.к. наш IP уже 2 раза попадал в черные списки почтовиков за спам и рассылку вирусов.

»

Полюбому где-то

Автор Storm, дата создания 17 июля, 2007 - 12:45.

Полюбому где-то MASQUERADE или SNAT, DNAT меняет только IP адрес получателя. Отправителя он не трогает.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".