Anzeige:
Ergebnis 1 bis 7 von 7

Thema: Bei DNAT soll empfänger rechner die original IP sehen

  1. #1
    Linux Süchtiger
    Registriert seit
    Sep 2001
    Ort
    Wien
    Beiträge
    228

    Bei DNAT soll empfänger rechner die original IP sehen

    Kann man das irgendwie einrichten, dass man bei DNAT die original absender-ip an den internen pc schickt?

    mein problem ist, dass ich bei meinem mail-server pop-before-smtp einrichten möchte und dabei wird für eine gewisse zeit das relay'n von der pop-ip erlaubt.

    nachdem bei mir allerdings alle connections zum mail-server (ports 25 und 110 werden weitergeleitet) meine eigene externe ip als absender haben, wird faktisch jedem relaying erlaubt, sobald sich irgendwer über pop authentifiziert hat.

    Es müsste allso irgendwie möglich sein, dass der interne mail-server die original absende-ip bekommt und nicht meine eigene.


    Hier die regeln für die weiterleitung:

    Code:
    # NAT fuer SMTP
        iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.1.50
        iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 25 -j SNAT --to [meine externe ip]
        iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 192.168.1.50 --dport 25 -j ACCEPT
    
        # NAT fuer IMAP
        iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 143 -j DNAT --to 192.168.1.50
        iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 143 -j SNAT --to [meine externe ip]
        iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 192.168.1.50 --dport 143 -j ACCEPT
    
        # NAT fuer POP3
        iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j DNAT --to 192.168.1.50
        iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 110 -j SNAT --to [meine externe ip]
        iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 192.168.1.50 --dport 110 -j ACCEPT
    Geändert von Tommy_20 (04.12.02 um 10:05 Uhr)
    "Wenn Windows die Antwort ist, wie dämlich muss dann die Frage gewesen sein?" *g*

  2. #2
    Linux Süchtiger
    Registriert seit
    Sep 2001
    Ort
    Wien
    Beiträge
    228
    konnte das problem (glaub ich) schon lösen!

    hab die einträge für SNAT entfernt und nun sieht es so aus, als würde es funktionieren (komme zumindest mit der richtigen externen ip zum internen server und nicht mit meiner eigenen externen)
    "Wenn Windows die Antwort ist, wie dämlich muss dann die Frage gewesen sein?" *g*

  3. #3
    Moderator
    Registriert seit
    May 2002
    Ort
    Dortmund
    Beiträge
    1.407
    Original geschrieben von Tommy_20
    hab die einträge für SNAT entfernt und nun sieht es so aus, als würde es funktionieren (komme zumindest mit der richtigen externen ip zum internen server und nicht mit meiner eigenen externen)
    Das funktioniert so nur unter der Voraussetzung, wenn Du
    a) auf dem SMTP-Server Deine Firewall als Default-Gateway eingetragen hast
    b) auf der Firewall Masquerading aktiviert hast.

    Harry
    Wer einen Fehler findet, der darf ihn gerne behalten ;)
    http://harry.homelinux.org - iptables Generator & mehr

  4. #4
    Premium Mitglied
    Registriert seit
    Jun 2002
    Beiträge
    2.483
    Masquerading muss nicht aktiviert sein, netfilter verwendet AFAIK das connection Tracking dafür.
    Zweiblum versuchte es ihm zu erklären
    Rincewind versuchte es zu verstehen

    Wie man Fragen richtig stellt

  5. #5
    Moderator
    Registriert seit
    May 2002
    Ort
    Dortmund
    Beiträge
    1.407
    Original geschrieben von Jinto
    Masquerading muss nicht aktiviert sein, netfilter verwendet AFAIK das connection Tracking dafür.
    Nunja - in diesem Punkt gehen die Meinungen auseinander. Meine bisherigen Erfahrungen und Tests vor 14 Tagen haben genau das Gegenteil gezeigt.
    Wie auch immer: Hauptsache es funktioniert

    Harry
    Wer einen Fehler findet, der darf ihn gerne behalten ;)
    http://harry.homelinux.org - iptables Generator & mehr

  6. #6
    Linux Süchtiger
    Registriert seit
    Sep 2001
    Ort
    Wien
    Beiträge
    228
    auf der firewall is masq aktiviert und es funktioniert nun einwandfrei :-)


    @Harry: Der Firewall-Script generator auf deiner page is ned schlecht ;-) - wie sicher is denn ne firewall die damit erstellt wurde?
    "Wenn Windows die Antwort ist, wie dämlich muss dann die Frage gewesen sein?" *g*

  7. #7
    Moderator
    Registriert seit
    May 2002
    Ort
    Dortmund
    Beiträge
    1.407
    Original geschrieben von Tommy_20
    @Harry: Der Firewall-Script generator auf deiner page is ned schlecht ;-) - wie sicher is denn ne firewall die damit erstellt wurde?
    Was heißt "ned schlecht":
    a) Er ist eigentlich ganz gut.
    b) Er könnte verbessert werden.


    Die mit dem Generator erstellte Firewall ist genau so gut, wie Du sie Dir zusammengeklickt hast.
    Mit der so erstellten Paketfilter-Firewall hast Du nach heutigen Maßstäben eine recht leistungsfähige und sichere Firewall erstellt, die Dich vor unbefugtem Zugriff von außen schützt. Was dann im Detail noch von außen erlaubt sein soll, das kannst Du Dir ja eh im Frontend zusammenklicken

    Harry
    Wer einen Fehler findet, der darf ihn gerne behalten ;)
    http://harry.homelinux.org - iptables Generator & mehr

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •