LINUX.ORG.RU
ФорумAdmin

squid+iptables+outlook

 , ,


0

1

Доброго времени суток. Возникла проблема. Имеется настроенный squid c Kerberos-аутентификацией для работы с Active Directory. Все бы хорошо, но появилась необходимость пользоваться внешней почтой используя Outlook, желательно в настройках учетной записи указывая локальный адрес сервера со сквидом. Так понимаю необходимо использовать iptables, но уже 3 дня бьюсь и не могу понять как это реализовать.

Поднять Tagging VLAN для WAN
Ограничение скорости для каждого подключенного (OpenVpn)

Судя по описанию задачи squid настраивали не вы, может лучше обратиться к админу?

А так, определяете порты (потому что, ЕМНИП, outlook может по разным протоколам ходить за почтой) и настраиваете. Сначала делаете SNAT и указываете в настройках Outlook адрес внешнего сервера. Когда это заработает, настраиваете ещё DNAT, чтобы указывать в настройках локальный адрес.

mky ★★★★★
()
Ответ на: комментарий от mky

Порты : POP = 995 SMTP = 465

Сейчас у меня все работает с указанием шлюза на клиенте и внешнего почтового сервера в настройках outlook. С этим разобрался почти сразу. Но никак не могу достучаться тем же telnet-ом по портам 995 и 465 до своего сервера из локалки.

WolarPolf
() автор топика
Ответ на: комментарий от WolarPolf

DNAT правила написаны? Если написаны, запускаете tcpdump на перехват этих tcp-пакетов и смотрите по обоим интерфейсам как приходят/уходят пакеты.

mky ★★★★★
()
Ответ на: комментарий от WolarPolf

не могу достучаться тем же telnet-ом по портам 995 и 465 до своего сервера из локалки

«свой сервер» - что имеется ввиду? Внешний почтовый сервер?

samson ★★
()
Ответ на: комментарий от WolarPolf

те с клиента у вас client$ telnet SMTP_PORT работает, а со шлюза gw$ telnet SMTP_PORT - нет. Так? То зачем оно и надо то?

Если так, то смотрите что там у вас на шлюзе в таблице filter, может там не пускает (iptables -t filter -vnL).

ps: шлюз - это и есть машина со сквидм?

samson ★★
()
Ответ на: комментарий от samson

Имеется машина со сквидом. enp6s3 смотрит в интернет, enp6s2 в локальную сеть (192.168.0.0/24). Машина со сквидом - 192.168.0.56 $LOCALNET = 192.168.0.0/24 $MAILSERVER - внешний почтовик

В iptables имею следующее. 

iptables -A FORWARD -p tcp -s $LOCALNET -d $MAILSERVER --dport 995 -j ACCEPT
iptables -A FORWARD -p tcp -s $MAILSERVER -d $LOCALNET --sport 995 -j ACCEPT
iptables -A FORWARD -p tcp -s $LOCALNET -d MAILSERVER --dport 465 -j ACCEPT
iptables -A FORWARD -p tcp -s MAILSERVER -d $LOCALNET --sport 465 -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -s $LOCALNET --dport 995 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LOCALNET --dport 465 -j MASQUERADE
Так на клиенте с указанием $MAILSERVER в настройках Outlook и 192.168.0.56 как шлюз почта работает. Очень хотелось бы указывать в настройках Outlook не $MAILSERVER, а 192.168.0.56

WolarPolf
() автор топика
Ответ на: комментарий от WolarPolf

так вам же mky уже ответил. SNAT у вас есть (маскарадинг), осталось DNAT сделать

samson ★★
()
Ответ на: комментарий от WolarPolf 
iptables -t nat -A PREROUTING -i enp6s2 -p tcp -d 192.168.0.56 --dport 995 -j DNAT --to-destination $MAILSERVER
iptables -t nat -A PREROUTING -i enp6s2 -p tcp -d 192.168.0.56 --dport 465 -j DNAT --to-destination $MAILSERVER
samson ★★
()
Последнее исправление: samson (всего исправлений: 4)
Ответ на: комментарий от samson

Огромное спасибо. Все получилось. Это именно то что нужно.

WolarPolf
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Поднять Tagging VLAN для WAN
Admin
Ограничение скорости для каждого подключенного (OpenVpn)