forum.opennet.ru

Составление сообщения

Исходное сообщение

"MX-записи"
Отправлено psn1982, 20-Июл-07 16:48

>>Зачем это нужно, лишнее кольцо на себя, я бы понял если бы
>>на внешнем ip висел еще один MTA, другой, а здесь идет
>>возврат через DNAT
>>Локальная почта при нормальной настройке должна сразу оседать на машине, и никуда
>>не лезть, тем более на внешние ip
>
>согласен, но это пока только почта, завтра например поднимет ВЕБ сервер даст
>доступ к нему с наружи естественно запись в ДНСе будет с
>реальным ИПом, для локальных изеров опять те-же грабли
Почта локальная так и должна работать. С клиента пришла на SMTP сервер, а если он же ее и принимает а не релеит, она для него локальная все на этом стоп....., дальше никуда лезть не нужно, ни в DNS ни на другой релей.
С вебом тут совсем другое дело.
Тут 2 варианта:
1. Если есть внутренний DNS, то можно в нем сделать A запись на внутренний ip, если нет
то
2. TCP проксирование (пример с помощью pf)
На системе сетевой защиты может быть установлен универсальный прокси-сервер TCP, или слушающий на порту, который будет перенаправлен, или получающий подключения на внутреннем интерфейсе. Когда локальный клиент соединяется с системой сетевой защиты, прокси-сервер принимает подключение, устанавливает второе подключение с внутренним сервером, и передает данные между этими двумя подключениями.
Простое проксирование можно организовать используя inetd(8) и nc(1). Следущие записи в etc/inetd.conf создают сокет, привязанный к петлевому адресу (127.0.0.1) и порту 5000. Подключения перенаправляются на порт 80 сервера 192.168.1.10.
127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w \
   20 192.168.1.10 80
Следущее правило перенапрвляет порт 80 на внутреннем интерфейсе к прокси-серверу:
rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \
   127.0.0.1 port 5000
3.Комбинация RDR и NAT (пример pf)
С дополнительным правилом NAT на внутреннем интерфейсе может быть решена проблема недостающей переадресации.
rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \
   $server
no nat on $int_if proto tcp from $int_if to $int_net
nat on $int_if proto tcp from $int_net to $server port 80 -> \
   $int_if
Это заставит начальный пакет от клиента быть оттранслированным снова, когда он пройдет назад через внутренний интерфейс, заменяя исходный адрес клиента на внутренний адрес системы сетевой защиты. Внутренний сервер ответит системе сетевой защиты, которая может полностью изменить и NAT и RDR трансляции при отправке пакета локальному клиенту

Исходное сообщение
"MX-записи" Отправлено psn1982, 20-Июл-07 16:48
>>Зачем это нужно, лишнее кольцо на себя, я бы понял если бы >>на внешнем ip висел еще один MTA, другой, а здесь идет >>возврат через DNAT >>Локальная почта при нормальной настройке должна сразу оседать на машине, и никуда >>не лезть, тем более на внешние ip > >согласен, но это пока только почта, завтра например поднимет ВЕБ сервер даст >доступ к нему с наружи естественно запись в ДНСе будет с >реальным ИПом, для локальных изеров опять те-же грабли Почта локальная так и должна работать. С клиента пришла на SMTP сервер, а если он же ее и принимает а не релеит, она для него локальная все на этом стоп....., дальше никуда лезть не нужно, ни в DNS ни на другой релей. С вебом тут совсем другое дело. Тут 2 варианта: 1. Если есть внутренний DNS, то можно в нем сделать A запись на внутренний ip, если нет то 2. TCP проксирование (пример с помощью pf) На системе сетевой защиты может быть установлен универсальный прокси-сервер TCP, или слушающий на порту, который будет перенаправлен, или получающий подключения на внутреннем интерфейсе. Когда локальный клиент соединяется с системой сетевой защиты, прокси-сервер принимает подключение, устанавливает второе подключение с внутренним сервером, и передает данные между этими двумя подключениями. Простое проксирование можно организовать используя inetd(8) и nc(1). Следущие записи в etc/inetd.conf создают сокет, привязанный к петлевому адресу (127.0.0.1) и порту 5000. Подключения перенаправляются на порт 80 сервера 192.168.1.10. 127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w \ 20 192.168.1.10 80 Следущее правило перенапрвляет порт 80 на внутреннем интерфейсе к прокси-серверу: rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \ 127.0.0.1 port 5000 3.Комбинация RDR и NAT (пример pf) С дополнительным правилом NAT на внутреннем интерфейсе может быть решена проблема недостающей переадресации. rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \ $server no nat on $int_if proto tcp from $int_if to $int_net nat on $int_if proto tcp from $int_net to $server port 80 -> \ $int_if Это заставит начальный пакет от клиента быть оттранслированным снова, когда он пройдет назад через внутренний интерфейс, заменяя исходный адрес клиента на внутренний адрес системы сетевой защиты. Внутренний сервер ответит системе сетевой защиты, которая может полностью изменить и NAT и RDR трансляции при отправке пакета локальному клиенту

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру