Страница 1 из 1
Песочница. Проброс портов для E-mail сервера.
Добавлено: 25 сен 2019, 21:38
Loma64
Здравствует !
Я купил и осознавал, что я покупаю СТАБИЛЬНОСТЬ роутер Mikrotik RB951
Имеется почтовый сервер iRedMail на Centose 7 - поднял, настроил работает ( сертификаты, учетки и т д ) все норм.
купил белый IP.
подключил его в 4 порт
его адрес прописан на карточке 192.168.0.15
в НАТе указал порты проброса ДС-НАТ 25,587,110,995,143,993,465 на ip 192.168.0.15
письма уходят и доходят до адресата, но не приходят ответы т.е. письма не приходят.
где что пропустил ?
Спасибо
P.S.: интернет по рррое на 1 порту
Nat вот так выглядит:
add action=dst-nat chain=dstnat dst-port=25 log=yes log-prefix="===EM25===" protocol=tcp to-addresses=192.168.0.15 to-ports=25
add action=dst-nat chain=dstnat dst-port=465 log=yes log-prefix="===EM465===" protocol=tcp to-addresses=192.168.0.15 to-ports=465
add action=dst-nat chain=dstnat dst-port=587 log-prefix="===EM587==" protocol=tcp to-addresses=192.168.0.15 to-ports=587
add action=dst-nat chain=dstnat dst-port=995 log=yes log-prefix="===EM995===" protocol=tcp to-addresses=192.168.0.15 to-ports=995
add action=dst-nat chain=dstnat dst-port=110 log=yes log-prefix="===EM110===" protocol=tcp to-addresses=192.168.0.15 to-ports=110
add action=dst-nat chain=dstnat dst-port=143 log=yes log-prefix="===EM143===" protocol=tcp to-addresses=192.168.0.15 to-ports=143
add action=dst-nat chain=dstnat dst-port=993 log=yes log-prefix="===EM993===" protocol=tcp to-addresses=192.168.0.15 to-ports=993
P.S.1: с мобильного телнетом проверял порты отвечают, так же телнетом на майл пробивался на 25 порт проходит
Re: Песочница. Проброс портов для E-mail сервера.
Добавлено: 25 сен 2019, 23:08
xvo
1) Надо в NAT правила добавить либо dst-address=ваш_внешний-адрес либо in-interface=ваш_внешний_интерфейс в зависимости от того, что лучше подходит по логике, иначе получается, что роутер вообще все пакеты по данным портам перенаправляет на 192.168.0.15
2) В firewall'е есть правило разрешающее все то же самое?
Или вообще глобальное, которое разрешает всё, что было подвергнуто dst-nat?
И ещё пару замечаний:
3) если в NAT правиле порт не меняется, его можно не указывать.
4) если не нужна будет статистика по пакетам по каждому порту, это все можно одним правилом описать:
Код: Выделить всё
add action=dst-nat chain=dstnat dst-address=внешний_адрес dst-port=25,587,110,995,143,993,465 protocol=tcp to-addresses=192.168.0.15
Re: Песочница. Проброс портов для E-mail сервера.
Добавлено: 26 сен 2019, 07:14
Loma64
xvo писал(а): ↑25 сен 2019, 23:08
1) Надо в NAT правила добавить либо dst-address=ваш_внешний-адрес либо in-interface=ваш_внешний_интерфейс в зависимости от того, что лучше подходит по логике, иначе получается, что роутер вообще все пакеты по данным портам перенаправляет на 192.168.0.15
т.е. dst-address=1.1.1.1 или in-interface=pppoe
xvo писал(а): ↑25 сен 2019, 23:08
2) В firewall'е есть правило разрешающее все то же самое?
В firewall'е -нет правил для почтовика.
Типа: ip firewall filter add chain=forward src-address=192.168.0.15/32 protocol=tcp dst-port=25 action=accept
Я думал, что тоже самое что пробросить 3389 на его примере и сделал.
xvo писал(а): ↑25 сен 2019, 23:08
Или вообще глобальное, которое разрешает всё, что было подвергнуто dst-nat?
нет такого, а это как?
xvo писал(а): ↑25 сен 2019, 23:08
Код: Выделить всё
add action=dst-nat chain=dstnat dst-address=внешний_адрес dst-port=25,587,110,995,143,993,465 protocol=tcp to-addresses=192.168.0.15
Ааааа.... что так можно было ?!
Re: Песочница. Проброс портов для E-mail сервера.
Добавлено: 26 сен 2019, 07:19
Vlad-2
1) Можно
2) когда много адресов(внешних), порой явно указание в правиле проброса нужногоо адреса = позволяет более правильно
и в нужное место сделать проброс
Правда всегда есть НО:
при таком пробросе, (особенно для почтовика) = Вы не будете видеть входящие адреса подключения,
поэтому некоторые лимиты, ограничения, какие то списки будет не просто, а порой и не возможно
сделать на почтовике.
Re: Песочница. Проброс портов для E-mail сервера.
Добавлено: 26 сен 2019, 07:25
Loma64
Vlad-2 писал(а): ↑26 сен 2019, 07:19
1) Можно
наверное тут все от меня угорают
)))
Vlad-2 писал(а): ↑26 сен 2019, 07:19
Правда всегда есть НО:
при таком пробросе, (особенно для почтовика) = Вы не будете видеть входящие адреса подключения,
поэтому некоторые лимиты, ограничения, какие то списки будет не просто, а порой и не возможно
сделать на почтовике.
рекомендуете каждый порт отдельно прописать ?
Re: Песочница. Проброс портов для E-mail сервера.
Добавлено: 26 сен 2019, 07:32
Vlad-2
Loma64 писал(а): ↑26 сен 2019, 07:25
наверное тут все от меня угорают
)))
Были "кадры" очень похлеще.
Loma64 писал(а): ↑26 сен 2019, 07:25
рекомендуете каждый порт отдельно прописать ?
И это в том числе, но рекомендую через таблицу MAGLE
сделать PREROUTING каждого порта, и тогда при внешнем
обращения с IP внешнего на Ваш порт скажем 25,
роутер не будет делать DST (и обращение на Ваш почтовик придёт
уже не от локального адреса роутера), а придёт прямо прямой внешний адрес
на Ваш сервер почтовой в этот 25-й порт.
Говорю обобщённо, сам так не делал, у меня почтовые сервера сами с реальными адресами,
но коллега (на линуксе шлюз у него) он так сделал. И у него в почтовике реальные адреса подключения.
А файрволл линукса и микротика в общем-то одинаковы.
Re: Песочница. Проброс портов для E-mail сервера.
Добавлено: 26 сен 2019, 08:55
xvo
Loma64 писал(а): ↑26 сен 2019, 07:14
В firewall'е -нет правил для почтовика.
Типа: ip firewall filter add chain=forward src-address=192.168.0.15/32 protocol=tcp dst-port=25 action=accept
Я думал, что тоже самое что пробросить 3389 на его примере и сделал.
Я не знаю, как у вас firewall устроен, но если он всё, что не разрешено в явном виде сбрасывает, то нужно такого типа правило:
Код: Выделить всё
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=pppoe
В дефолтном варианте из коробки используется другое. Там последнее drop правило просто сбрасывает не всё: в нем условие connection-nat-state=!dstnat добавлено.
Или можно просто дублировать правила из NAT.
Ну в общем, так или иначе, но что-то такое должно быть.
Тот факт, что пакет был подвергнут обработке в NAT совсем не означает, что он автоматом избавляется от необходимости пройти firewall.
Re: Песочница. Проброс портов для E-mail сервера.
Добавлено: 26 сен 2019, 13:13
Loma64
xvo писал(а): ↑26 сен 2019, 08:55
Loma64 писал(а): ↑26 сен 2019, 07:14
Я не знаю, как у вас firewall устроен, но если он всё, что не разрешено в явном виде сбрасывает, то нужно такого типа правило:
Код: Выделить всё
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=pppoe
xvo писал(а): ↑26 сен 2019, 08:55
Или можно просто дублировать правила из NAT.
У меня в NATe вот так:
Код: Выделить всё
chain=dstnat action=dst-nat to-addresses=192.168.0.223 protocol=tcp dst-address=8*.1**.2**.1** dst-port=25,587,110,995,143,993,465 log=yes
log-prefix="===EM==="
где 8*.1**.2**.1** - мой белый IP адрес
в файрволе
Код: Выделить всё
add action=dst-nat chain=dstnat dst-address=8*.1**.2**.1** dst-port=25,587,110,995,143,993,465 log=yes log-prefix="===EM_ALL===" protocol=tcp to-addresses=192.168.0.15
если что то пойдет не так вечером скину
время +2 МСК
Re: Песочница. Проброс портов для E-mail сервера.
Добавлено: 30 сен 2019, 13:07
Loma64
Loma64 писал(а): ↑26 сен 2019, 13:13
xvo писал(а): ↑26 сен 2019, 08:55
если что то пойдет не так вечером скину
время +2 МСК
Все норм, пошло все...
Спасибо Всем за поддержку !
Re: Песочница. Проброс портов для E-mail сервера.
Добавлено: 30 сен 2019, 23:28
xvo
