Kann man das irgendwie einrichten, dass man bei DNAT die original absender-ip an den internen pc schickt?

mein problem ist, dass ich bei meinem mail-server pop-before-smtp einrichten möchte und dabei wird für eine gewisse zeit das relay'n von der pop-ip erlaubt.

nachdem bei mir allerdings alle connections zum mail-server (ports 25 und 110 werden weitergeleitet) meine eigene externe ip als absender haben, wird faktisch jedem relaying erlaubt, sobald sich irgendwer über pop authentifiziert hat.

Es müsste allso irgendwie möglich sein, dass der interne mail-server die original absende-ip bekommt und nicht meine eigene.


Hier die regeln für die weiterleitung:



# NAT fuer SMTP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.1.50
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 25 -j SNAT --to [meine externe ip]
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 192.168.1.50 --dport 25 -j ACCEPT

# NAT fuer IMAP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 143 -j DNAT --to 192.168.1.50
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 143 -j SNAT --to [meine externe ip]
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 192.168.1.50 --dport 143 -j ACCEPT

# NAT fuer POP3
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j DNAT --to 192.168.1.50
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 110 -j SNAT --to [meine externe ip]
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 192.168.1.50 --dport 110 -j ACCEPT

konnte das problem (glaub ich) schon lösen!

hab die einträge für SNAT entfernt und nun sieht es so aus, als würde es funktionieren (komme zumindest mit der richtigen externen ip zum internen server und nicht mit meiner eigenen externen)

Original geschrieben von Tommy_20
hab die einträge für SNAT entfernt und nun sieht es so aus, als würde es funktionieren (komme zumindest mit der richtigen externen ip zum internen server und nicht mit meiner eigenen externen)
Das funktioniert so nur unter der Voraussetzung, wenn Du
a) auf dem SMTP-Server Deine Firewall als Default-Gateway eingetragen hast
b) auf der Firewall Masquerading aktiviert hast.

Harry

Masquerading muss nicht aktiviert sein, netfilter verwendet AFAIK das connection Tracking dafür.

Original geschrieben von Jinto
Masquerading muss nicht aktiviert sein, netfilter verwendet AFAIK das connection Tracking dafür.
Nunja - in diesem Punkt gehen die Meinungen auseinander. Meine bisherigen Erfahrungen und Tests vor 14 Tagen haben genau das Gegenteil gezeigt.
Wie auch immer: Hauptsache es funktioniert :D

Harry

auf der firewall is masq aktiviert und es funktioniert nun einwandfrei :-)


@Harry: Der Firewall-Script generator auf deiner page is ned schlecht ;-) - wie sicher is denn ne firewall die damit erstellt wurde?

Original geschrieben von Tommy_20
@Harry: Der Firewall-Script generator auf deiner page is ned schlecht ;-) - wie sicher is denn ne firewall die damit erstellt wurde?
Was heißt "ned schlecht":
a) Er ist eigentlich ganz gut.
b) Er könnte verbessert werden.
:D

Die mit dem Generator erstellte Firewall ist genau so gut, wie Du sie Dir zusammengeklickt hast. ;)
Mit der so erstellten Paketfilter-Firewall hast Du nach heutigen Maßstäben eine recht leistungsfähige und sichere Firewall erstellt, die Dich vor unbefugtem Zugriff von außen schützt. Was dann im Detail noch von außen erlaubt sein soll, das kannst Du Dir ja eh im Frontend zusammenklicken :D

Harry