Проблема с правилами

Обсуждение ПО и его настройки
EAD666
Сообщения: 8
Зарегистрирован: 30 мар 2012, 12:31

Добрый день!

Приобрел Mikrotik 450G, настроил доступ.
Включил маскарадинг, пользователи ходят в инет.
Опубликовал почтовый сервер.
Все удаленные сеансы на данный момент приходят с IP адресом почтового сервера, ранее определялся адрес удаленной машины. В связи с чем, почтовик не может правильно фильтровать спам.
Куда копать?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Для ответа на Ваш вопрос нарисуйте схему и распишите интрефейсы и айпишники

и что куда ходит

Самое простое - не надо маскарадить локальные подсети


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
EAD666
Сообщения: 8
Зарегистрирован: 30 мар 2012, 12:31

Вот настройки микротика.
Почтовик имеет адрес - 192.168.0.53
Микротик - 192.168.0.5
Внешний адрес - 109.195.XXX.XX

# ADDRESS NETWORK INTERFACE
0 192.168.0.5/24 192.168.0.0 ether2
1 109.195.XXX.XX/32 109.195.XXX.XX Internet

# NAME TYPE MTU L2MTU MAX-L
0 R ;;; WAN
ether1 ether 1500 1520
1 R ;;; LAN
ether2 ether 1500 1520
2 ether3 ether 1500 1520
3 ether4 ether 1500 1520
4 ether5 ether 1500 1520
5 R Internet pppoe-out 1480

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid
1 ;;; Allow established connections
chain=input action=accept connection-state=established
2 ;;; Allow related connections
chain=input action=accept connection-state=related
3 ;;; Allow UDP
chain=input action=accept protocol=udp
4 ;;; Allow ICMP Ping
chain=input action=accept protocol=icmp
5 ;;; Access to router only for admin
chain=input action=accept src-address=192.168.0.53
6 ;;; All other inputs drop
chain=input action=drop
7 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid
8 ;;; Allow established connections
chain=forward action=accept connection-state=established
9 ;;; Allow related connections
chain=forward action=accept connection-state=related
10 ;;; Allow UDP
chain=forward action=accept protocol=udp
11 ;;; Allow ICMP Ping
chain=forward action=accept protocol=icmp
12 ;;; Allow 25 port
chain=forward action=accept protocol=tcp dst-port=25
13 ;;; Allow 110 port
chain=forward action=accept protocol=tcp dst-port=110
14 ;;; Access to internet from Mail
chain=forward action=accept src-address=192.168.0.53
15 ;;; All other forwards drop
chain=forward action=drop

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=Internet
1 chain=dstnat action=dst-nat to-addresses=192.168.0.53 protocol=tcp dst-address=109.195.XXX.XX dst-port=110
2 chain=dstnat action=dst-nat to-addresses=192.168.0.53 protocol=tcp dst-address=109.195.XXX.XX dst-port=25
3 chain=srcnat action=src-nat to-addresses=109.195.XXX.XX to-ports=0-65535 protocol=tcp dst-address=192.168.0.53>
src-port=0-65535


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

и теперь подробно опишите проблему

Что и куда не правильно уходит?


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
EAD666
Сообщения: 8
Зарегистрирован: 30 мар 2012, 12:31

Проблема заключается в том, что мой почтовый сервер при получении писем от сторонних серверов, не фиксирует адреса удаленных машин, а вместо этого указывает свой: [109.195.XXX.XX:22394]
пример:

Accepting SMTP connection from [109.195.XXX.XX:22394] to [192.168.0.53:25]
220 mail.XXXXXX.ru ESMTP MDaemon 11.0.3; Fri, 30 Mar 2012 17:11:51 +0600
EHLO host241-120-static.190-82-b.business.telecomitalia.it
250-mail.XXXXXX.ru Hello host241-120-static.190-82-b.business.telecomitalia.it, pleased to meet you

в скобках по идее должен был определиться адрес 82.190.120.241
и так со всеми адресами
Последний раз редактировалось EAD666 12 апр 2012, 06:41, всего редактировалось 1 раз.


EAD666
Сообщения: 8
Зарегистрирован: 30 мар 2012, 12:31

Подскажи пожалуйста, в какую сторону смотреть???
где грабли?

помимо этой проблемы есть еще одна.
на клиентах, если почту забирать через почтовый клиент с внешних серверов mail.ru, rambler.ru, yandex.ru, не удается авторизоваться. Логины и пароли указаны верно. Если войти через веб интерфейс, все в порядке. До перехода работы на микротик, такой проблемы не возникало.
Может быть кто то сталкивался с этим???


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Все правильно он пишет

Он принял соединение из инета на себя

Его ип - на самом деле его ип = 192,168,х,х


не вижу проблемы

А по поводу авторизации на сторонних серверах = смотрите Логи и шлите нам


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Вам поможет Маркировщик Mangle.
Там есть - Prerouting, forward, Postrouting.
Prerouting - срабатывает еще до NAT. DST IP адреса пакетов - это адрес роутера
forward - срабатывает после NAT. DST IP адреса пакетов - это уже адрес клиента за роутером.
Postrouting - изменение адреса источника в пакете.

PREROUTING - аналог DstNat.
POSTROUTING - аналог SrcNat.



А фильтровать спам-юзеров можно прекрасно средствами самого Микротика.
Почтовик для этого не нужен.
1-2 строчки всего

Сценарии обработки для Микротик:
Это нужно знать наизусть:
Для Транзитного траффика: сеть -> mangle PREROUTING -> nat PREROUTING -> mangle FORWARD -> filter FORWARD -> mangle POSTROUTING -> nat POSTROUTING -> сеть

Для Входящего: - сеть -> mangle PREROUTING, -> nat PREROUTING -> mangle INPUT -> filter INPUT -> локальный процесс
Для Исходящего: локальный процесс -> mangle OUTPUT -> filter OUTPUT -> mangle POSTROUTING -> nat POSTROUTING -> сеть

Таблицу гляньте:
http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGGENERAL
А Вот отличная схема движения пакетов в Микротике:
Без понимания как ходит трафик в Микротике можно многое напутать.
Изображение

Вот схема попроще:
Изображение


EAD666
Сообщения: 8
Зарегистрирован: 30 мар 2012, 12:31

Спасибо за ответы, буду разбираться.


EAD666
Сообщения: 8
Зарегистрирован: 30 мар 2012, 12:31

так и не удалось решить эту проблему.
Может кто подскажет, как сделать, чтобы микротик не подменял IP-адреса клиентов на свой?


Ответить