- Перенаправление исходящего трафика от почтового сервера,
 GolDi, 12:12 , 10-Апр-13 (1)>[оверквотинг удален]
> Также имеется маршрутизатор Cisco выполняющий роль шлюза в этой сети
> На маршрутизаторе имеется 2 интерфейса : первый - основной для выхода в
> интернет, loopback - для почты.
> Чтобы почта доставлялась до нашего сервера сделан статический нат с loopback на
> внутренний адрес почтового сервера, все ок.
> Проблема в следующем
> Как перенаправить на этот loopback и исходящий трафик чтобы и получилаи мы
> почту и отправляли с одного адреса
> Сейчас почта получается через loopback а уходит через интерфейс для инет
> Спасибо все заранее.конфиг ппокажите
- Перенаправление исходящего трафика от почтового сервера, xev, 12:22 , 10-Апр-13 (2)
>[оверквотинг удален]
>> На маршрутизаторе имеется 2 интерфейса : первый - основной для выхода в
>> интернет, loopback - для почты.
>> Чтобы почта доставлялась до нашего сервера сделан статический нат с loopback на
>> внутренний адрес почтового сервера, все ок.
>> Проблема в следующем
>> Как перенаправить на этот loopback и исходящий трафик чтобы и получилаи мы
>> почту и отправляли с одного адреса
>> Сейчас почта получается через loopback а уходит через интерфейс для инет
>> Спасибо все заранее.
> конфиг ппокажите 1.1.1.1 - внешний адрес для почты (loopback10)
2.2.2.2 - внутренний адрес почтового сервера
interface Loopback10
ip address x.x.x.x 255.255.255.248 secondary
ip address x.x.x.x 255.255.255.248 secondary
ip address x.x.x.x 255.255.255.248 secondary
ip address 1.1.1.1 255.255.255.248 - тот самый интерфес через который получаем почту
ip nat outside
ip virtual-reassembly
ip route-cache flow ip nat inside source static tcp 2.2.2.2 25 1.1.1.1 25 extendable - пробрасывем почту наружу ip nat inside source route-map ROUTE-MAP-LIST interface FastEthernet0/1 overload - интернет
в ROUTE-MAP-LIST имеется ACL
permit ip host x.x.x.x any
permit ip host x.x.x.x any
permit ip host x.x.x.x any
permit ip host x.x.x.x any
permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так как на нем еще и крутится прокси(
- Перенаправление исходящего трафика от почтового сервера, GolDi, 12:29 , 10-Апр-13 (3)
>[оверквотинг удален]
> ip nat inside source static tcp 2.2.2.2 25 1.1.1.1 25 extendable -
> пробрасывем почту наружу
> ip nat inside source route-map ROUTE-MAP-LIST interface FastEthernet0/1 overload - интернет
> в ROUTE-MAP-LIST имеется ACL
> permit ip host x.x.x.x any
> permit ip host x.x.x.x any
> permit ip host x.x.x.x any
> permit ip host x.x.x.x any
> permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так
> как на нем еще и крутится прокси( а зачем такой изврат через loopback?
- Перенаправление исходящего трафика от почтового сервера, xev, 12:33 , 10-Апр-13 (4)
>[оверквотинг удален]
>> пробрасывем почту наружу
>> ip nat inside source route-map ROUTE-MAP-LIST interface FastEthernet0/1 overload - интернет
>> в ROUTE-MAP-LIST имеется ACL
>> permit ip host x.x.x.x any
>> permit ip host x.x.x.x any
>> permit ip host x.x.x.x any
>> permit ip host x.x.x.x any
>> permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так
>> как на нем еще и крутится прокси(
> а зачем такой изврат через loopback?ну интерфейс смотрящий в интернет всего один,
на нем висит адрес для итнрнета, мне же нужно разделить эти 2 потока, инача попаду в спам лист быстро
ну я и поднял второй в виде loopback
подскажите если есть другой способ
- Перенаправление исходящего трафика от почтового сервера, AlexDv, 12:39 , 10-Апр-13 (5)
>[оверквотинг удален]
>>> permit ip host x.x.x.x any
>>> permit ip host x.x.x.x any
>>> permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так
>>> как на нем еще и крутится прокси(
>> а зачем такой изврат через loopback?
> ну интерфейс смотрящий в интернет всего один,
> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
> потока, инача попаду в спам лист быстро
> ну я и поднял второй в виде loopback
> подскажите если есть другой способ В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса :)
- Перенаправление исходящего трафика от почтового сервера, xev, 12:41 , 10-Апр-13 (6)
>[оверквотинг удален]
>>>> permit ip host 2.2.2.2 any пускаем здесь и почтовый сервер, так
>>>> как на нем еще и крутится прокси(
>>> а зачем такой изврат через loopback?
>> ну интерфейс смотрящий в интернет всего один,
>> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
>> потока, инача попаду в спам лист быстро
>> ну я и поднял второй в виде loopback
>> подскажите если есть другой способ
> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
> :) ну вот я тоже так думал оказалось что если адрес на который почта приходит разница с адресом с которого уходит, попадаешь в спам лист, проверено.
- Перенаправление исходящего трафика от почтового сервера, GolDi, 12:44 , 10-Апр-13 (7)
>[оверквотинг удален]
>>> ну интерфейс смотрящий в интернет всего один,
>>> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
>>> потока, инача попаду в спам лист быстро
>>> ну я и поднял второй в виде loopback
>>> подскажите если есть другой способ
>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>> :)
> ну вот я тоже так думал
> оказалось что если адрес на который почта приходит разница с адресом с
> которого уходит, попадаешь в спам лист, проверено.внешних ip у вас сколько?
повесте второй ip как secondary на внешний интерфейс (может и не надо даже), и создайте правило
nat на почтовый сервер
- Перенаправление исходящего трафика от почтового сервера, xev, 12:50 , 10-Апр-13 (8)
>[оверквотинг удален]
>>>> подскажите если есть другой способ
>>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>>> :)
>> ну вот я тоже так думал
>> оказалось что если адрес на который почта приходит разница с адресом с
>> которого уходит, попадаешь в спам лист, проверено.
> внешних ip у вас сколько?
> повесте второй ip как secondary на внешний интерфейс (может и
> не надо даже), и создайте правило
> nat на почтовый сервер внешних ip зарезервированных за нами у нас много
на loopbacke также висят адреса для web и vpn
Ну можно и повесить как secondary только какая разница...
NAT же есть
ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable но почему то почта уходит все равно через адрес интернета а не через статический нат...
- Перенаправление исходящего трафика от почтового сервера, GolDi, 13:27 , 10-Апр-13 (9)
>[оверквотинг удален]
>> повесте второй ip как secondary на внешний интерфейс (может и
>> не надо даже), и создайте правило
>> nat на почтовый сервер
> внешних ip зарезервированных за нами у нас много
> на loopbacke также висят адреса для web и vpn
> Ну можно и повесить как secondary только какая разница...
> NAT же есть
> ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable
> но почему то почта уходит все равно через адрес интернета а не
> через статический нат...а если прописать статичесую трансляцию без указания портов?
- Перенаправление исходящего трафика от почтового сервера, xev, 13:39 , 10-Апр-13 (10)
>[оверквотинг удален]
>>> не надо даже), и создайте правило
>>> nat на почтовый сервер
>> внешних ip зарезервированных за нами у нас много
>> на loopbacke также висят адреса для web и vpn
>> Ну можно и повесить как secondary только какая разница...
>> NAT же есть
>> ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable
>> но почему то почта уходит все равно через адрес интернета а не
>> через статический нат...
> а если прописать статичесую трансляцию без указания портов?попробовал, произошла странная вещь, получилось что теперь весь трафик ушел через внешний почтовый интерфейс loopback, включая и почту.
- Перенаправление исходящего трафика от почтового сервера, GolDi, 13:51 , 10-Апр-13 (11)
>[оверквотинг удален]
>>> внешних ip зарезервированных за нами у нас много
>>> на loopbacke также висят адреса для web и vpn
>>> Ну можно и повесить как secondary только какая разница...
>>> NAT же есть
>>> ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable
>>> но почему то почта уходит все равно через адрес интернета а не
>>> через статический нат...
>> а если прописать статичесую трансляцию без указания портов?
> попробовал, произошла странная вещь, получилось что теперь весь трафик ушел через внешний
> почтовый интерфейс loopback, включая и почту.навеоно есть route-map на loopback
- Перенаправление исходящего трафика от почтового сервера, Andrey, 15:05 , 10-Апр-13 (13)
>[оверквотинг удален]
>>> внешних ip зарезервированных за нами у нас много
>>> на loopbacke также висят адреса для web и vpn
>>> Ну можно и повесить как secondary только какая разница...
>>> NAT же есть
>>> ip nat inside source static tcp 192.168.100.10 25 82.200.26.42 25 extendable
>>> но почему то почта уходит все равно через адрес интернета а не
>>> через статический нат...
>> а если прописать статичесую трансляцию без указания портов?
> попробовал, произошла странная вещь, получилось что теперь весь трафик ушел через внешний
> почтовый интерфейс loopback, включая и почту.Попробуйте такую конструкцию: ! NAT для выходящего трафика.
ip nat pool Users a.b.c.d a.b.c.d netmask 255.255.255.248
ip nat pool Mail a.b.c.e a.b.c.e netmask 255.255.255.248
ip nat inside source list Users-ACL pool Users overload
ip nat inside source lost Mail-Server pool Mail overload
! NAT для входящего трафика на почтовый сервер
ip nat inside source static tcp IP.MAIL.SER.VER 25 a.b.c.e 25 ! ACL для разных пулов NAT трансляций
ip access-list extended Users-ACL
deny tcp host IP.MAIL.SER.VER any eq 25
permit any any
ip access-list extended Mail-Server
permit tcp host IP.MAIL.SER.VER any eq 25 И никаких PBR. Использование Loopback тоже отсутствует.
- Перенаправление исходящего трафика от почтового сервера, xev, 07:09 , 11-Апр-13 (15)
>[оверквотинг удален]
> ip nat inside source lost Mail-Server pool Mail overload
> ! NAT для входящего трафика на почтовый сервер
> ip nat inside source static tcp IP.MAIL.SER.VER 25 a.b.c.e 25
> ! ACL для разных пулов NAT трансляций
> ip access-list extended Users-ACL
> deny tcp host IP.MAIL.SER.VER any eq 25
> permit any any
> ip access-list extended Mail-Server
> permit tcp host IP.MAIL.SER.VER any eq 25
> И никаких PBR. Использование Loopback тоже отсутствует.Да, все логично и должно работать! Я делал такой список доступа для роут-мапа
ip access-list extended Mail-Server
permit tcp host IP.MAIL.SER.VER any eq 25 почему то в нем нет совпадении!!
- Перенаправление исходящего трафика от почтового сервера, Andrey, 08:39 , 11-Апр-13 (16)
>[оверквотинг удален]
>> deny tcp host IP.MAIL.SER.VER any eq 25
>> permit any any
>> ip access-list extended Mail-Server
>> permit tcp host IP.MAIL.SER.VER any eq 25
>> И никаких PBR. Использование Loopback тоже отсутствует.
> Да, все логично и должно работать!
> Я делал такой список доступа для роут-мапа
> ip access-list extended Mail-Server
> permit tcp host IP.MAIL.SER.VER any eq 25
> почему то в нем нет совпадении!!А весь остальной трафик как обрабатывается? Покажите текущую конфигурацию.
Зачем вам роут-мап? У вас один канал, один маршрутизатор. У вас по ТЗ нет других маршрутизаторов и выходов через другие каналы связи. Избавляйтесь от роут-мапов, это сильно грузит процессор маршрутизатора. - Перенаправление исходящего трафика от почтового сервера, xev, 09:44 , 11-Апр-13 (17)
>[оверквотинг удален]
>>> И никаких PBR. Использование Loopback тоже отсутствует.
>> Да, все логично и должно работать!
>> Я делал такой список доступа для роут-мапа
>> ip access-list extended Mail-Server
>> permit tcp host IP.MAIL.SER.VER any eq 25
>> почему то в нем нет совпадении!!
> А весь остальной трафик как обрабатывается? Покажите текущую конфигурацию.
> Зачем вам роут-мап? У вас один канал, один маршрутизатор. У вас по
> ТЗ нет других маршрутизаторов и выходов через другие каналы связи. Избавляйтесь
> от роут-мапов, это сильно грузит процессор маршрутизатора.Проблему решил с помощью роут-мапа на loopback
не работало потому что составил ACL не верно
я делал так
permit tcp host IP.MAIL.SER.VER eq 25 any
а надо
permit tcp host IP.MAIL.SER.VER any eq 25 Возможно вы и правы что проблему можно решить и без роут-мапа, но дело в том что адрес смотрящий в интернет и адрес для почты совершенно разные, то есть разные включая подсеть, вот я не знаю ваш пример заработает в таком случае.
- Перенаправление исходящего трафика от почтового сервера, AlexDv, 14:11 , 10-Апр-13 (12)
>[оверквотинг удален]
>>> ну интерфейс смотрящий в интернет всего один,
>>> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
>>> потока, инача попаду в спам лист быстро
>>> ну я и поднял второй в виде loopback
>>> подскажите если есть другой способ
>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>> :)
> ну вот я тоже так думал
> оказалось что если адрес на который почта приходит разница с адресом с
> которого уходит, попадаешь в спам лист, проверено.Это не спам-лист, а spf-check. Пропишите нужным ip разрешения на отправку почты.
- Перенаправление исходящего трафика от почтового сервера, xev, 06:51 , 11-Апр-13 (14)
>[оверквотинг удален]
>>>> на нем висит адрес для итнрнета, мне же нужно разделить эти 2
>>>> потока, инача попаду в спам лист быстро
>>>> ну я и поднял второй в виде loopback
>>>> подскажите если есть другой способ
>>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>>> :)
>> ну вот я тоже так думал
>> оказалось что если адрес на который почта приходит разница с адресом с
>> которого уходит, попадаешь в спам лист, проверено.
> Это не спам-лист, а spf-check. Пропишите нужным ip разрешения на отправку почты. ну мой сервер допустим представляется mail.example.com
для него днс прописан 2.2.2.2 Вот я так понял есть спам-фильтры которые проверяют это доменное имя, и адрес c которого им пришла почта не совпадает с адресом mail.example.com
- Перенаправление исходящего трафика от почтового сервера, AlexDv, 13:39 , 11-Апр-13 (18)
>[оверквотинг удален]
>>>> В спам-лист вы попадете если будете рассылать спам, независимо с какого интерфейса
>>>> :)
>>> ну вот я тоже так думал
>>> оказалось что если адрес на который почта приходит разница с адресом с
>>> которого уходит, попадаешь в спам лист, проверено.
>> Это не спам-лист, а spf-check. Пропишите нужным ip разрешения на отправку почты.
> ну мой сервер допустим представляется mail.example.com
> для него днс прописан 2.2.2.2
> Вот я так понял есть спам-фильтры которые проверяют это доменное имя, и
> адрес c которого им пришла почта не совпадает с адресом mail.example.com Это и есть SPF - sender policy framework. Пропишите в dns те ip, с которых будет отправляться почта.
|
Версия для распечатки
Перенаправление исходящего трафика от почтового сервера, 
