LINUX.ORG.RU
ФорумAdmin

sendmail и общий редирект на него


0

0

Всем привет.

Есть сеть, с кучей пользователей и кучей спама соотвественно. Выше стоящий провайдер ругается на спам потому решено сделать редирект всех обращений на 25 порт на машинку с sendmail+spamd.

И тут возникает проблема. Если указывать в качестве smtp сервера эту машинку то письма уходят и ДОХОДЯТ. Если указывать другой smtp сервер (дабы произошел редирект опять же на сервер с сендмейле и спам фильтром) то в письма уходят но не доходят. В логах даже не появляется информации про адресата (email адрес отправления).

Куда смотреть, что копать ?

PS sendmail настроен на прием прием писем с этих подсетей.


Re: sendmail и общий редирект на него

оказалось что и письма не уходят если указывать не его. 100% дело в фаирволе. на freebsd такое решал добавлением правила ipfw add 1 fwd XX.XX.XXX.XXX tcp from me 25 to any

а в iptаbles не могу понять что ему не нравится

PUZO ()
Ответ на: Re: sendmail и общий редирект на него от PUZO

Re: sendmail и общий редирект на него

> а в iptаbles не могу понять что ему не нравится
А как сделан redirect в iptables ?

Почему-то у меня возникло подозрение (исходя из вашего описания ситуации), что redirect со шлюза делается на другую тачилу в локальной сети. Т.е. имеем:
1) локальная тачила шлет пакет наружу:
src=local_comp1_IP, dst=inet_mail_server_IP
2) при приходе на шлюз выполняется DNAT:
src=local_comp1_IP, dst=local_mail_server_IP
3) пакет уходит на локальный mail сервер, который пытается на него ответить, и шлет такой пакет (меняются src и dst):
src=local_mail_server_IP, dst=local_comp1_IP
4) исходная тачила получается пакет от
src=local_mail_server_IP
хотя изначальна слала на inet_mail_server_IP, поэтому и ждет ответный именно от внешнего сервера, а этот просто игнорирует и все => соединение не устанавливается.

Если я угадал, то вам на firewall-е нужно попробовать дополнительно делать SNAT для таких пакетов:
DNAT меняет dst IP, а потом SNAT меняет еще и src на IP шлюза, чтоб локальный почтовый сервер отвечал обратно шлюзу, а тот выполнял обратную подстановку и отсылал клиенту.

spirit ★★★★★ ()
Ответ на: Re: sendmail и общий редирект на него от spirit

Re: sendmail и общий редирект на него

Ну почти правильно поняли. На самом деле подмены ип адреса и нет. Редирект реализован с помощью pf а именно rdr. Если у вас есть возможность проконсультировать по аське или джаберу то был бы очень благодарен. Просто не хочу тут постить вывод tcpdump.

icq 999336 jabber bloody@pueblo.ru

PUZO ()
Ответ на: Re: sendmail и общий редирект на него от j262

Re: sendmail и общий редирект на него

Сори про это забыл. Но уверен что делу не поможет. Судя по tcpdump соединение попросту не устанавливается потому как не хватает для этого информации. НО вот не понятно почему простая строчка в ipfw решает эту проблему а тут не получается. Мне надо всего не много что бы всеми stmp серверами что указывает пользователь являлся только один на который идет редирект. Просто пользователям уже манагеры устают объяснять почему мы закрываем 25 порт.

PUZO ()
Ответ на: Re: sendmail и общий редирект на него от spirit

Re: sendmail и общий редирект на него

я конечно уже забил на это, просто не понятно чем тагда ipfw лучше iptables. и это обидно :( ибо бсд просто не люблю.

PUZO ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.