sendmail и общий редирект на него

0

0

Всем привет.

Есть сеть, с кучей пользователей и кучей спама соотвественно. Выше стоящий провайдер ругается на спам потому решено сделать редирект всех обращений на 25 порт на машинку с sendmail+spamd.

И тут возникает проблема. Если указывать в качестве smtp сервера эту машинку то письма уходят и ДОХОДЯТ. Если указывать другой smtp сервер (дабы произошел редирект опять же на сервер с сендмейле и спам фильтром) то в письма уходят но не доходят. В логах даже не появляется информации про адресата (email адрес отправления).

Куда смотреть, что копать ?

PS sendmail настроен на прием прием писем с этих подсетей.

Ссылка

←	Memcached, проблемы с очисткой памяти под нагрузкой

FTP-софт: казалось бы, какие могут быть вопросы? :-)

→

оказалось что и письма не уходят если указывать не его. 100% дело в фаирволе. на freebsd такое решал добавлением правила ipfw add 1 fwd XX.XX.XXX.XXX tcp from me 25 to any

а в iptаbles не могу понять что ему не нравится

PUZO ★
(07.03.07 17:32:26 MSK) автор топика

Ответ на: комментарий от PUZO 07.03.07 17:32:26 MSK

глянь логи iptables -ов

j262 ★★
(07.03.07 18:44:30 MSK)

Ответ на: комментарий от j262 07.03.07 18:44:30 MSK

сам то понял что сказал ?

PUZO ★
(07.03.07 19:53:56 MSK) автор топика

Ответ на: комментарий от PUZO 07.03.07 17:32:26 MSK

> а в iptаbles не могу понять что ему не нравится
А как сделан redirect в iptables ?

Почему-то у меня возникло подозрение (исходя из вашего описания ситуации), что redirect со шлюза делается на другую тачилу в локальной сети. Т.е. имеем:
1) локальная тачила шлет пакет наружу:
src=local_comp1_IP, dst=inet_mail_server_IP
2) при приходе на шлюз выполняется DNAT:
src=local_comp1_IP, dst=local_mail_server_IP
3) пакет уходит на локальный mail сервер, который пытается на него ответить, и шлет такой пакет (меняются src и dst):
src=local_mail_server_IP, dst=local_comp1_IP
4) исходная тачила получается пакет от
src=local_mail_server_IP
хотя изначальна слала на inet_mail_server_IP, поэтому и ждет ответный именно от внешнего сервера, а этот просто игнорирует и все => соединение не устанавливается.

Если я угадал, то вам на firewall-е нужно попробовать дополнительно делать SNAT для таких пакетов:
DNAT меняет dst IP, а потом SNAT меняет еще и src на IP шлюза, чтоб локальный почтовый сервер отвечал обратно шлюзу, а тот выполнял обратную подстановку и отсылал клиенту.

spirit ★★★★★
(07.03.07 20:00:17 MSK)

Ответ на: комментарий от spirit 07.03.07 20:00:17 MSK

Ну почти правильно поняли. На самом деле подмены ип адреса и нет. Редирект реализован с помощью pf а именно rdr. Если у вас есть возможность проконсультировать по аське или джаберу то был бы очень благодарен. Просто не хочу тут постить вывод tcpdump.

icq 999336 jabber bloody@pueblo.ru

PUZO ★
(07.03.07 20:09:53 MSK) автор топика

Ответ на: комментарий от PUZO 07.03.07 19:53:56 MSK

я имел ввиду -j log , возможно прояснит ситуацию .

j262 ★★
(07.03.07 20:12:14 MSK)

Ответ на: комментарий от j262 07.03.07 20:12:14 MSK

Сори про это забыл. Но уверен что делу не поможет. Судя по tcpdump соединение попросту не устанавливается потому как не хватает для этого информации. НО вот не понятно почему простая строчка в ipfw решает эту проблему а тут не получается. Мне надо всего не много что бы всеми stmp серверами что указывает пользователь являлся только один на который идет редирект. Просто пользователям уже манагеры устают объяснять почему мы закрываем 25 порт.

PUZO ★
(07.03.07 20:18:13 MSK) автор топика