Pravidlo pro Shorewall

[Pavel Kankovsky]

On Thu, 10 Nov 2011, Roman Mraz wrote:

> nejak jsem se zamotal do pravidel shorewallu a potreboval bych poradit.
> Mam nize uvedenou topologii a konfiguraci. Mam problem vytvorit pravidlo
> tak, abych i ze serveru X ve VLAN 2 mohl posilat maily jako by chodily
> z venku, tzn. posilat je stale na adresu mail.firma.cz
> [...]
> /etc/shorewall/rules
> SECTION NEW
> .....
> DNAT    loc       dmz:$MAIL_SRV    tcp     imap,smtp,ssmtp,imaps  
> -       $MAIL_SRV_OUT
> DNAT    guest     dmz:$MAIL_SRV    tcp     smtp,ssmtp,imaps       
> -       $MAIL_SRV_OUT

A kde máte pravidlo, které by se týkalo provozu, který přichází z "dmz"?

Nevím, jestli je přesně toto důvod, proč Vám to odmítá, ale i kdyby to
pustil, tak tam budete mít ten problém, že

1. Z počítače X = 192.168.2.20 pošlete paket na 1.2.3.4.
2. Na firewallu se cílová adrese přepíše na MAIL = 192.168.2.10.
3. Na MAIL přijde paket se zdrojovou adresou 192.168.2.20.
4. Odpověď z 192.168.2.10 se pošle přímo X...
který nemá tušení, co s tím, protože původně chtěl komunikovat s 1.2.3.4.

Pokud budete chtít, aby to takto fungovalo, tak tam budete muset mít i 
SNAT, aby to přes firewall chodilo i opačným směrem.

Překlad adres je ZLO. (A proto je potřeba potírat ohněm a mečem všechny
idioty, kteří ho snaží propašovat do IPv6.)

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /