Pravidlo pro Shorewall

[Roman Mraz]

Pavel Kankovsky napsal(a):
> On Thu, 10 Nov 2011, Roman Mraz wrote:
>
>> nejak jsem se zamotal do pravidel shorewallu a potreboval bych poradit.
>> Mam nize uvedenou topologii a konfiguraci. Mam problem vytvorit pravidlo
>> tak, abych i ze serveru X ve VLAN 2 mohl posilat maily jako by chodily
>> z venku, tzn. posilat je stale na adresu mail.firma.cz
>> [...]
>> /etc/shorewall/rules
>> SECTION NEW
>> .....
>> DNAT    loc       dmz:$MAIL_SRV    tcp     imap,smtp,ssmtp,imaps
>> -       $MAIL_SRV_OUT
>> DNAT    guest     dmz:$MAIL_SRV    tcp     smtp,ssmtp,imaps
>> -       $MAIL_SRV_OUT
> A kde máte pravidlo, které by se týkalo provozu, který přichází z "dmz"?
>
> Nevím, jestli je přesně toto důvod, proč Vám to odmítá, ale i kdyby to
> pustil, tak tam budete mít ten problém, že
>
> 1. Z počítače X = 192.168.2.20 pošlete paket na 1.2.3.4.
> 2. Na firewallu se cílová adrese přepíše na MAIL = 192.168.2.10.
> 3. Na MAIL přijde paket se zdrojovou adresou 192.168.2.20.
> 4. Odpověď z 192.168.2.10 se pošle přímo X...
> který nemá tušení, co s tím, protože původně chtěl komunikovat s 1.2.3.4.
>
> Pokud budete chtít, aby to takto fungovalo, tak tam budete muset mít i
> SNAT, aby to přes firewall chodilo i opačným směrem.
Diky za objasneni. Mel jsem podezreni na toto chovani, ale nejak jsem 
nebyl s to si to sesumirovat v hlave.
Nakonec jsem to "obesel" zaznamem v /etc/hosts na tom stroji X, kde jsem 
pro preklad uvedl interni adresu toho mail serveru.
Takze vse se odehraje v ramci jedne site a na firewall a router, v jedne 
osobe, nic neprijde.
>
> Překlad adres je ZLO. (A proto je potřeba potírat ohněm a mečem všechny
> idioty, kteří ho snaží propašovat do IPv6.)
>
V tom s Vami souhlasim :-)
Roman Mraz