Не могу разобраться с фаерволом - не дает Exim'у отсылать письма с нужного интерфейса

0

1

Проблема такая:

есть внешний интерфейс eth0 имеет IP x.x.x.190 (ип внешний) внутренний eth1 имеет IP 10.0.1.254 есть алиас eth0:ex2 имеет IP x.x.x.175 (ип внешний)

а еще есть exim. а в конфиге exim есть такое:

... local_interfaces = 127.0.0.1 : 10.0.1.254 : x.x.x.175 ...

и даже такое:

... remote_smtp: driver = smtp interface = x.x.x.175 ...

Требуется чтобы exim принимал соединения на адрес x.x.x.175 и инициировал соединения с него же.

Если брандмауэр выключен - все происходит как надо Если включен - exim принимает соединения на адрес x.x.x.175 НО инициирует с x.x.x.190

Вопрос: как настроить фаер у меня уже мозг кипит Спасибо :-)

Ссылка

←	[Intel vPro / AMT] что это такое?

Посоветуйте ось и фаервол...

→

Наверное, у вас сделан SNAT/MASQRADE на eth0?

Фаер настроить руками, если мозг кипит, покажите список правил, может помогут. Если правил много, то на pastebin, если немного, то сюда, но в режиме «User line breaks» и с предпросмотром, чтобы не получилась каша.

mky ★★★★★
(04.11.10 10:03:00 MSK)

Ответ на: комментарий от mky 04.11.10 10:03:00 MSK

Да, NAT на eth0

Конфиг смотрите тут: ftp://office.pgural.ru/

karakulov
(04.11.10 18:42:27 MSK) автор топика

Ответ на: комментарий от karakulov 04.11.10 18:42:27 MSK

Для iptables алиасы интерфейсов значения не имеют. Следовательно, весь ваш исходящий трафик попадает под правило MASQRADE идёт с адреса x.x.x.190. Есть различные варианты исправления правил iptables. ИМХО, самый простой, сделать:

iptables -t nat -I POSTROUTING -o eth0 -s x.x.x.175 -p tcp --dport 25 -j ACCEPT

Тогда исходящие smtp соединения не будут натится.

Но, может это и не правильное правило. Я не совсем понял вашу конфигурацию, правила iptables с той же машины, где и exim? Если да, то зачем что-то связанное с smtp в forward?

mky ★★★★★
(04.11.10 22:45:03 MSK)

Ответ на: комментарий от mky 04.11.10 22:45:03 MSK

ура! это правильное правило!!!

эту конфигурацию придумал open suse вместе с yastом, я сам в ней ничего не понимаю.

karakulov
(05.11.10 09:57:28 MSK) автор топика

Ответ на: комментарий от karakulov 05.11.10 09:57:28 MSK

большое вам спасибо за помощь :-)

karakulov
(05.11.10 09:59:36 MSK) автор топика

Ответ на: комментарий от karakulov 05.11.10 09:59:36 MSK

Пожалуйста :)

Но, я не уверен, что это правило переживёт перезагрузку. Проверьте это, если после перезагрузки его не будет, надо думать, куда его прописать, чтобы оно было всегда, чтобы yast его ненароком не грохнул. Я SuSe не знаю...

mky ★★★★★
(06.11.10 10:44:30 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[Intel vPro / AMT] что это такое?

Security

Посоветуйте ось и фаервол...

→

Похожие темы