Сервер(1хeth0. forward запросов(почта) клиентов на конечный роутер. [РЕШЕНО]

[Brunen]

Решение в этом сообщении

В спойлере - сама тема.

(Нажмите, чтобы показать/скрыть)

Здравствуйте!

Есть схема сети:
Клиенты--->Сервер(Ubuntu 10.10/192.168.0.1)--->Роутер(железка/192.168.0.254)-->Интернет

у К в качестве шлюза прописан Р, но клиенты для браузинга используют прокси(С). Т.е. весь остальной трафик идёт напрямую через Р.

У К задачи простые: веб(80) и почта(25,110), мейл-агент(via proxy)

Встали задачи:

1. Прописать у К шлюз С, чтобы в И не утекал неконтролируемый трафик - сделано!
2. Перенаправить запросы К(The Bat) с С на Р и соответственно, в И.
3. Разрешить им забирать почту с внешних серверов через The Bat.

Как я это вижу?
2. К делает запрос в The Bat(забрать почту) - и его запрос идёт на С, т.к. у К это шлюз по-умолчанию.
Далее, пришедший на С пакет подхватывает iptables и перенаправляет его на Р, который отправляет его в И
3. Принцип схож.

Как это видит iptables? Учитывая, что один сетевой интерфейс. Нужно ли включать форвардинг?

[censor]

роутер в бридж, линк поднять на сервере. не совсем ясно что за роутер, если adsl то его наличие оправдано в противном случае есго стоит убрать добавив на сервер еще одну сетевую и подключив интернет непосредственно на ubuntu.
поднять на сервере сквида (если требуется статистика и фильтрация для вэба), почту можно форвардить (натить) iptables напрямую.

[AnrDaemon]

Как это видит iptables? Как ключ зажигания видит дорожное полотно? Никак не видит.
И вообще, iptables к маршрутизации пакетов имеет левое отношение. Повлиять может, но впрямую этим не занимается.
Как пакеты проходят по таблицам нетфильтра? http://www.docum.org/docum.org/kptd/
Как вашу сеть настроить? Разделить на две. В одной роутер, во второй клиенты. Или выкинуть роутер, правильно вам сказали.

[Brunen]

роутер в бридж, линк поднять на сервере. не совсем ясно что за роутер, если adsl то его наличие оправдано в противном случае есго стоит убрать добавив на сервер еще одну сетевую и подключив интернет непосредственно на ubuntu.
поднять на сервере сквида (если требуется статистика и фильтрация для вэба), почту можно форвардить (натить) iptables напрямую.

Да, забыл упомянуть. Роутер - железка Dlink Dir-320. На сервере стоит уже сквид с настроенным rejik'om - работает замечательно.
Плюсом на сервере крутятся: samba(шары предприятия, личные папки пользователей),dnsmasq(dns, dhcp). Делать роутером я его не собираюсь.



Пользователь решил продолжить мысль 23 Апреля 2011, 08:35:10:Так, давайте сразу проясним:
Я сюда пришёл найти конкретные ответы на конкретные вопросы, а не рассматривать альтернативы.
Если б хотел альтернативного построения сети - задал бы соответствующий вопрос.

[AnrDaemon]

Тебе дали конкретные ответы. Даже больше одного, на сколько я помню. Что НЕ понятно?

[drako]

Делать роутером я его не собираюсь.

Вообще-то вы его уже сделали роутером:

1. Прописать у К шлюз С, чтобы в И не утекал неконтролируемый трафик - сделано!

[Гарри Кашпировский]

Роутер - железка Dlink Dir-320.

Сервер с одним eth0.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Устройтсво:  DIR-320                   Сервер

---- Инет ----- | VLAN5 | ---------- | vlan5@eth0| --\
                                                                                    |
---- LAN ------ | VLAN4 | ---------- | vlan4@eth0| --/
                       
Роль:    Wlan and Vlan-switch       Gateway

[Brunen]

Ладно, от вас, господа нормальных ответов не получишь.

Офтоп, конечно же, но:

(Нажмите, чтобы показать/скрыть)

Нахрена вы вообще здесь сидите, если не можете ответить практично? Время своё совсем не жалко или в жизни просто делать нечего?
---------------------------------
Вопрос:
Как разрешить ходить постфиксу в качестве клиента на mail/rambler/yandex-почтовые сервера, без использования TLS?

Ответ:
в /etc/postfix/main.cf
напиши строчку:
smtp_tls_security_level=may
---------------------------------
вот пример практичного ответа. А дальше я уже сам разберусь, почему именно may

Мне не нужны ваши наставления, подколки. Они похожи на отражения ваших внутренних комплексов(если рассматривать их с точки зрения психологии).
Если меня спрашивает человек, как ему настроить самбу на определённый круг задач - я ему помогу практичным примером в виде готовой конфигурации. Если же я не знаю как решить его проблему - так и скажу: "Не знаю, не сталкивался".

p.s. Из большинства советов, которые мне дают на этом форуме, максимум - один/два в теме оказываются полезными/практичными. Остальные вида - иди гугли. Скажите, нахрена я сижу и создаю тему здесь, когда уже мог давно нагуглить то, что мне надо? Может, я уже гуглил и не нашёл ответа? Вам такое в голову не приходило?!

Кого обидел, извиняйте - наболело! 

[censor]

а нахрена мне тратить свое время на построение костылей для вашей сети, был предложен нормальный вариант реализации построения сети офиса, вам он не нужен, соответственно мне нафиг не надо голову ломать над костылями и подпорками.

[drako]

Интересно, а с какой радости нам ломать за бесплатно голову над тем извращением что вы придумали?!

[Brunen]

Если хотите платно - идите в job.
Если не хотите ломать голову - пишите в других темах. Всё просто.

p.s. Давайте заканчивать впустую разговаривать.

[drako]

Если хотите платно - идите в job.
Если не хотите ломать голову - пишите в других темах. Всё просто.

p.s. Давайте заканчивать впустую разговаривать.

Для начала осознайте для каких целей этот форум. А за платно мы на работе голову ломаем(типа можете идти лесом со своими предложениями).

P.S. Вам уже дали советы - хотите ешьте, хотите нет.

[Lion-Simba]

Как я это вижу?
2. К делает запрос в The Bat(забрать почту) - и его запрос идёт на С, т.к. у К это шлюз по-умолчанию.
Далее, пришедший на С пакет подхватывает iptables и перенаправляет его на Р, который отправляет его в И

Собственно, на сервере нужно только включить форвардинг и всё. При условии, что iptables пусты (везде стоит политика ACCEPT), а основным шлюзом для сервера выступает роутер, то все приходящие на сервер пакеты (с интернетовским целевым адресом) будут маршрутизированы им в интернет через роутер.

Включить форвардинг:

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward

И есть ещё один нюанс. По умолчанию в убунте включена отправка редиректов:

Код: [Выделить]

cat /proc/sys/net/ipv4/conf/all/send_redirects
Работает это так. Когда сервер получит от клиента пакет, направленный в интернет, он его честно отмаршрутизирует через роутер в инет. Но вместе с тем, сервер отправит клиенту специальный пакет (ICMP redirect), который предложит клиенту отправлять пакеты по кратчайшему пути, то есть напрямую на роутер минуя сервер (так как они фактически находятся в одной и той же сети). Поэтому, если клиент "послушается" такого редиректа, то больше вы пакетов от соответствующего клиента на сервере не увидите.

Чтобы избавиться от этого, есть несколько вариантов:
1) Исправить структуру сети как советовали выше (правильное решение);
2) Отключить "отправку редиректов" (фактически костыль).

Кроме вышеописанного нюанса, могут быть и другие. Скажем, в вашей схеме построения сети никто не запрещает клиенту самостоятельно поменять адрес шлюза на роутер и ходить в инет в обход сервера.

[shumtest]

Кроме вышеописанного нюанса, могут быть и другие. Скажем, в вашей схеме построения сети никто не запрещает клиенту самостоятельно поменять адрес шлюза на роутер и ходить в инет в обход сервера.

Решается включением фильтрации по маку на роутере

[censor]

Кроме вышеописанного нюанса, могут быть и другие. Скажем, в вашей схеме построения сети никто не запрещает клиенту самостоятельно поменять адрес шлюза на роутер и ходить в инет в обход сервера.

Решается включением фильтрации по маку на роутере

решается подменой мака у клиента и тогда начинаются проблемы доступа к серверу из-за дублирующихся маков.