правила iptables для почтового сервера

[Viton-Zizu]

ребят, подскажите, как лучше сделать.Недавно в сети запустил почтовый сервер, соответственно вся почта теперь хранится у нас. Раньше на проксях были прокинуты порты для почтовых клиентов в сети, чтобы они забирали почту у хостера:
-A PREROUTING -d IP_lan_proxy -p tcp -m tcp --dport 112 -j DNAT --to-destination IP_Почта_Хостера:110
похожее правило для смтп.
так вот, почту всю с хостинга перенес к себе на почтовик в лан и вместо IP_Почта_Хостера:110 прописал внешний ip адресс моего почтовика и вроде бы всё работает) но в логах почтовика пишется внешний адрес прокси сервера для каждого клиента, что логично) а хочется чтобы писался внутренний сетевой адрес(192.168.0.х) у каждого клиента.как можно решить этот вопрос? если можно конешно) получается надо, что прокси перенаправлял пакеты на почтовик, но без НАТа...

[tagilchanin]

ребят, подскажите, как лучше сделать.Недавно в сети запустил почтовый сервер, соответственно вся почта теперь хранится у нас. Раньше на проксях были прокинуты порты для почтовых клиентов в сети, чтобы они забирали почту у хостера:
-A PREROUTING -d IP_lan_proxy -p tcp -m tcp --dport 112 -j DNAT --to-destination IP_Почта_Хостера:110
похожее правило для смтп.
так вот, почту всю с хостинга перенес к себе на почтовик в лан и вместо IP_Почта_Хостера:110 прописал внешний ip адресс моего почтовика и вроде бы всё работает) но в логах почтовика пишется внешний адрес прокси сервера для каждого клиента, что логично) а хочется чтобы писался внутренний сетевой адрес(192.168.0.х) у каждого клиента.как можно решить этот вопрос? если можно конешно) получается надо, что прокси перенаправлял пакеты на почтовик, но без НАТа...

Насколько я помню почтовый траффик никогда не проксировался

[aSmile]

Если ты не будешь натить, то как пакеты пойдут в интернет, и как будешь получать ответ, если маршрута до них нет?

[Viton-Zizu]

ну хорошо, а можно допустим чтобы вместо исходящего адреса указывался не адрес прокси, а адрес клиента откуда пакет?)
Пользователь решил продолжить мысль 21 Ноября 2012, 03:21:15:получается только натом можно,по другому никак?)
разве что клиентов сразу на почтовик направлять, без прокси, тогда придется каждого обходить, но лень))

[tagilchanin]

ну хорошо, а можно допустим чтобы вместо исходящего адреса указывался не адрес прокси, а адрес клиента откуда пакет?)
Пользователь решил продолжить мысль 21 Ноября 2012, 03:21:15:получается только натом можно,по другому никак?)
разве что клиентов сразу на почтовик направлять, без прокси, тогда придется каждого обходить, но лень))

Вообще не понятно.. Что вы хотите? Причем тут прокси и почтовый сервер?

[aSmile]

Вообще не понятно.. Что вы хотите? Причем тут прокси и почтовый сервер?

Мне кажется, ТС путает понятия. Шлюз называет прокси.

[robin777]

Думаю надо на шлюзе переправлять пакеты пришедшие извне на внешний IP почтового, а с если на почту ломятся из нутри значит опять же на внутренний-IP.

[Viton-Zizu]

Блин, плохо я объясняю) попробую по картинке показать, трафик у меня ходит по красным стрелкам, как сделать чтобы по жёлтым пошел? без ната желательно) чтобы айпишники внутренней сети оставались)

[tagilchanin]

Блин, плохо я объясняю) попробую по картинке показать, трафик у меня ходит по красным стрелкам, как сделать чтобы по жёлтым пошел? без ната желательно) чтобы айпишники внутренней сети оставались)

Все находится в локальной сети?

[Viton-Zizu]

ага

[tagilchanin]

ага

ну так и чего вы голову морочите,в iptables запись сделать:
$IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -d $LAN_IP -p tcp -m multiport --dport 25,110,143 -j SNAT --to-source $LAN_IP

[Viton-Zizu]

ну так и чего вы голову морочите,в iptables запись сделать:
$IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -d $LAN_IP -p tcp -m multiport --dport 25,110,143 -j SNAT --to-source $LAN_IP2

как я понял это правило: пакеты из сети $LAN_IP_RANGE (например 192.168.0.0/24) с адресом назначение $LAN_IP:25,110,143(мой прокси сервер, внутренняя сетевуха) перенаправлять в $LAN_IP2(внутренний ipшник моего почтовика)
всё верно?
просто почему то думал что это делается НАТом, он же по идее адрес назначения меняет...

[AnrDaemon]

Блин, плохо я объясняю) попробую по картинке показать, трафик у меня ходит по красным стрелкам, как сделать чтобы по жёлтым пошел? без ната желательно) чтобы айпишники внутренней сети оставались)
http://img22.ЗАПРЕЩЁННЫЙ РЕСУРС/img22/5373/77527912.png

Вы сами вообще думаете, что за чушь городите?
Про ваш, с позволения сказать, рисунок, я вообще молчу.
Кто, ну вот скажите мне, КТО запрещает вам настроить вашу сеть НОРМАЛЬНО, блин?
Почему пользователи в ЛОКАЛЬНОЙ сети не могут напрямую обратиться к ЛОКАЛЬНОМУ почтовому серверу? Что за бредятина?

[Viton-Zizu]

вот меня поражают ваши ответы, по существу в них обычно процентов 10, если такая схема сделана, значит так надо, я не спрашивал какую топологию в сети мне организовать, сейчас я буду на 100 и более клиентах обходить и прописывать чтобы они напрямую на почтовик шли! ага)

[tagilchanin]

вот меня поражают ваши ответы, по существу в них обычно процентов 10, если такая схема сделана, значит так надо, я не спрашивал какую топологию в сети мне организовать, сейчас я буду на 100 и более клиентах обходить и прописывать чтобы они напрямую на почтовик шли! ага)

Тогда как ты их настраиваешь вообще? Мысленно подключаешь им ящики?