Versão Imprimível
Bom dia a todos,
Estou tendo um problema com o exchange/iptables:
Consigo receber as mensagens mas nao consigo enviar...
Tenho uma DMZ da seguinte forma:
Uma maquina com tres placas:
eth0 - DMZ
eth1 - Ip valido
eth2 - rede interna
regras que tenho:
iptables -t nat -A POSTROUTING -o eht1 -j MASQUERADE
iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT \
--to 172.20.2.13
O que falta ?
sorry.. duplicou
[ Esta mensagem foi editada por: Danilo_Montagna em 01-08-2003 11:35 ]
faz essa regra aqui tb..
iptables -A FORWARD -p tcp -s 172.20.2.13 -i eth0 -o eth1 --dport 25 -j ACCEPT
na sua regra de FORWARD vc especificou que o pacote so sera aceito se ele entrar pela ETH1.. ok.. se o pacote vier de fora.. ira funcionar...
mais quando o exchange tentar enviar emails de dentro da rede.. o iptables irá bloquear.. pelo fato do pacote irá tentar sair pela ETH0.. e vc nao fez regra para o mesmo..
[]´s
[ Esta mensagem foi editada por: Danilo_Montagna em 01-08-2003 11:36 ]
Caro Danilo,
Obrigado pelas informacoes, mas nao funcionou...no entanto fiz o seguinte:
Mudou a regra para:
iptables -A FORWARD -s 0/0 -p tcp -i eth1 --dport 25 -j ACCEPT
Com isso, as mensagens enviadas comecaram a chegar porem com muito
atraso...certa de 30 minutos. Concordo que tem algo a ver com a maquina que estah na DMZ, fato que esta estah com o DNS externo e na configuracao
Default Virtual SMTP Server do Exchange eu tenho que colocar o IP do DNS
externo...
Entao, mais alguma sugestao ?
Sds.
...Desculpe a regra que coloquei foi:
iptables -A FORWARD -s 0/0 -p tcp --dport 25 -j ACCEPT
ou seja,
nao identifiquei a placa.
Sds
DeJaVu.
o atraso pode ser em funcao do DNS do seu dominio..
se ele estiver hospedado dentro ae da sua rede.. provavelmente deve ter algum erro de regra para o DNS tb..
ou essa maquina da DMZ nao esta resolvendo nomes DNS corretamente..
Caro Danilo,
Realmente com uma alteracao que fiz no DNS passou a funcionar. Agora pergunto ?
Eu coloquei o DNS externo na maquina que tem o primeiro Firewall (IP valido), com isso passou a funcionar. Antes eu tinha o DNS externo na DMZ e no Firewall eu fazia uma regra PREROUTING -i eht1 --dpot 53...para a DMZ. Isso ocorreu o problema pois quando os DNS publicos fizeram refresh eles pegaram meu IP da DMZ. Eu teria como deixar a maquina com IP publico somente para Firewall e outro servicos na DMA e rede interna ?
Hoje estou assim: Maq1(Firewall1 IP Pub e DNS Ex.)--->Maq2DM(Web,Proxy)
--->Maq3(Firewall2)--->Maq4(rede interna, email, DNS int, dhcp).
p.s.: Quanto aos firewalls, estou fazendo NAT sobre NAT
Obrigado
Cleiby.