Pravidlo pro Shorewall
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Středa Listopad 23 19:31:52 CET 2011
On Thu, 10 Nov 2011, Roman Mraz wrote:
> nejak jsem se zamotal do pravidel shorewallu a potreboval bych poradit.
> Mam nize uvedenou topologii a konfiguraci. Mam problem vytvorit pravidlo
> tak, abych i ze serveru X ve VLAN 2 mohl posilat maily jako by chodily
> z venku, tzn. posilat je stale na adresu mail.firma.cz
> [...]
> /etc/shorewall/rules
> SECTION NEW
> .....
> DNAT loc dmz:$MAIL_SRV tcp imap,smtp,ssmtp,imaps
> - $MAIL_SRV_OUT
> DNAT guest dmz:$MAIL_SRV tcp smtp,ssmtp,imaps
> - $MAIL_SRV_OUT
A kde máte pravidlo, které by se týkalo provozu, který přichází z "dmz"?
Nevím, jestli je přesně toto důvod, proč Vám to odmítá, ale i kdyby to
pustil, tak tam budete mít ten problém, že
1. Z počítače X = 192.168.2.20 pošlete paket na 1.2.3.4.
2. Na firewallu se cílová adrese přepíše na MAIL = 192.168.2.10.
3. Na MAIL přijde paket se zdrojovou adresou 192.168.2.20.
4. Odpověď z 192.168.2.10 se pošle přímo X...
který nemá tušení, co s tím, protože původně chtěl komunikovat s 1.2.3.4.
Pokud budete chtít, aby to takto fungovalo, tak tam budete muset mít i
SNAT, aby to přes firewall chodilo i opačným směrem.
Překlad adres je ZLO. (A proto je potřeba potírat ohněm a mečem všechny
idioty, kteří ho snaží propašovat do IPv6.)
--
Pavel Kankovsky aka Peak / Jeremiah 9:21 \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /
Další informace o konferenci Linux