как завернуть пакеты?

0

0

День добрый, господа! Прошу Вас подсказать мне вот какую вещь: Имеется почтовый сервер - 10.36.28.23, на него сваливается почта идущая извне. Поставили сервак-дублер - 10.36.28.15, как завернуть на новый сервак пакеты идущие извне через фаервол FreeBSD, во внутрь сети, где стоят оба сервака, но так, чтобы пакеты идущие на 10.36.28.23 по 25 порту летели на 10.36.28.15 также на 25-ый порт, а на старый сервак по 25-у ничего не попадало? Спасибо.

Ссылка

←	Правила ACL для блокировки порно

Genius NetScroll+ Traveler 400dpi PS2

→

Надо natd настроить на файерволе.

в natd.conf написать -redirect_port tcp 10.36.28.23:25 10.36.28.15:25

anonymous
(12.10.04 17:04:58 MSD)

Ответ на: комментарий от anonymous 12.10.04 17:04:58 MSD

>Надо natd настроить на файерволе.
Ну и зачем трогать фаервол.
Проще прописать на 10.36.28.23:
iptables -t nat -A PREROUTING -p tcp -d 10.36.28.23 --dport 25 -j DNAT --to-destination 10.36.28.15:25

anonymous
(12.10.04 18:39:31 MSD)

Ответ на: комментарий от anonymous 12.10.04 18:39:31 MSD

Господа! Речь идет о FreeBSD!!! Он не понимает iptables!!!!!!!

anonymous
(12.10.04 19:48:13 MSD)

Ответ на: комментарий от anonymous 12.10.04 19:48:13 MSD

Ну и кому она после этого нужна ? :)

chucha ★★★☆
(12.10.04 22:03:00 MSD)

Ответ на: комментарий от chucha 12.10.04 22:03:00 MSD

сам дурак chucha, рекомендую поставить pf, он в 5.x есть, и заюзать там это всё без гемороя через binat http://www.openbsd.org/faq/pf/nat.html#binat

anonymous
(13.10.04 09:37:53 MSD)

Ссылка

Ответ на: комментарий от anonymous 12.10.04 19:48:13 MSD

ну первым постом я тебе и сказал как сделать. можно конечно и через pf но я про него ничего не знаю.

anonymous
(13.10.04 15:46:08 MSD)

Ссылка

Ответ на: комментарий от anonymous 12.10.04 18:39:31 MSD

>Ну и зачем трогать фаервол. Затем что было сказано: >а на старый сервак по 25-у ничего не попадало.

anonymous
(13.10.04 15:48:57 MSD)

Ответ на: комментарий от anonymous 13.10.04 15:48:57 MSD

> а на старый сервак по 25-у ничего не попадало.
Убедись что у тя ядро скомпилино с поддержкой NAT, или подгрузи соответствующие модули...
А что iptraf выдаёт ??

anonymous
(14.10.04 00:32:01 MSD)

Ответ на: комментарий от anonymous 14.10.04 00:32:01 MSD

NAT поддерживается, но на старом серваке еще крутиться www, поэтому при использовании ната, могут быть проблемы! А как на счет пада!? Как правильно написать правило, если старый - 10.36.28.23 а новый 10.36.28.15? Да, еще, при всем при этом, почта идет не из интернета, а релеется серваком от вышестоящей организации, т.е. пришедшее письмо для организации 10.36.28.0 молча релеется на сервак 10.36.28.23, а надо, чтобы думая что релеется на 23-ий, уходило на 15-ый все в пределах локали? Переключение релея на новый сервак - отдельная песня! Обсуждению не подлежит!

anonymous
(14.10.04 12:01:29 MSD)

Ответ на: комментарий от anonymous 14.10.04 12:01:29 MSD

Я сделал правило ipfw -q add 10 fwd 10.36.28.15,25 tcp from any to 10.36.28.23 25 Вот что показал tcpdump (фрагмент) 12:26:25.908959 10.30.10.32.33720 > 10.36.28.23.smtp: P 0:6(6) ack 1 win 24820 (DF) 12:26:26.818879 10.30.10.32.33720 > 10.36.28.23.smtp: P 0:6(6) ack 1 win 24820 (DF) 12:26:28.638848 10.30.10.32.33720 > 10.36.28.23.smtp: P 0:6(6) ack 1 win 24820 (DF) 12:26:32.278773 10.30.10.32.33720 > 10.36.28.23.smtp: P 0:6(6) ack 1 win 24820 (DF) 12:26:32.709052 10.30.10.32.34353 > 10.36.28.23.smtp: P 0:40(40) ack 1 win 24820 (DF) 12:26:32.854437 10.30.10.32.33605 > 10.36.28.23.smtp: P 2930168947:2930168953(6) ack 3775046163 win 24820 (DF) 12:26:33.298608 10.30.10.32.33605 > 10.36.28.23.smtp: P 0:6(6) ack 1 win 24820 (DF) 12:26:34.208584 10.30.10.32.33605 > 10.36.28.23.smtp: P 0:6(6) ack 1 win 24820 (DF) 12:26:35.649504 0:b0:64:12:96:0 0:b0:64:12:96:0 loopback 60: 0000 0100 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 10.30.10.32 - это релей, который передает почту для сервера 10.36.28.23, но надо релей обмануть, чтобы он доставлял почту на 10.36.28.15 по все тому же 25-му порту!

anonymous
(14.10.04 12:47:44 MSD)

Ссылка

Ответ на: комментарий от anonymous 14.10.04 12:01:29 MSD

>NAT поддерживается, но на старом серваке еще крутиться www, поэтому при использовании ната, могут быть проблемы!
Какие?

Вот ты дурной ананимус сказано же тебе:
>в natd.conf написать -redirect_port tcp 10.36.28.23:25 10.36.28.15:25

anonymous
(14.10.04 13:58:48 MSD)

Ответ на: комментарий от anonymous 14.10.04 13:58:48 MSD

А во Фре как правильно написать?

anonymous
(14.10.04 14:26:23 MSD)

Ответ на: комментарий от anonymous 14.10.04 14:26:23 MSD

Слушай а ты точно фрю юзаешь????? Это и есть во фре!!!! Смотря как у тебя нат настроен. Если в rc.conf на файерволе у тебя gateway_enable="YES" natd_enable="YES" natd_flags="" - вот тут. Если у тебя тут ничего нет то пишешь прямо сюда. -redirect_port tcp 10.36.28.23:25 10.36.28.15:25 Можно по другому - указать в natd_flags="-f /etc/natd.conf" И уже там прописать тот же: redirect_port tcp 10.36.28.23:25 10.36.28.15:25

Кроме этого (Нат у тебя настроен или как???) на файерволе должно быть это: ${ipfw} add divert natd ip from ${ournet} to any out via ${ifout}

anonymous
(14.10.04 15:28:14 MSD)

Ссылка

Ответ на: комментарий от anonymous 14.10.04 14:26:23 MSD

ептать!!
Если в rc.conf на файерволе у тебя
gateway_enable="YES"
natd_enable="YES"
natd_flags="" - вот тут. Если у тебя тут ничего нет то пишешь прямо сюда. -redirect_port tcp 10.36.28.23:25 10.36.28.15:25
Можно по другому - указать в natd_flags="-f /etc/natd.conf"
И уже там прописать тот же: redirect_port tcp 10.36.28.23:25 10.36.28.15:25

Кроме этого (Нат у тебя настроен или как???) на файерволе должно быть это:
${ipfw} add divert natd ip from ${ournet} to any out via ${ifout}

anonymous
(14.10.04 15:28:48 MSD)