почтовик внутри корпоративной сети

[ROM_VD 0]

Добрый день!

Такая ситуация:

Есть корпоративная сеть. Есть Stg последней сборки. Юзеры включают выключают себе интернет через InetAccess. Есть внтури организации почтовый сервер, для которого заведен аккаунт в Stg и поставлена галочка всегда он-лайн. Роутером на котором установлен Stg порты 25 и 110 прокидываются iptables на этот внутренний почтовик.

Так вот, все соединения инициированные почтовиком, а это исходящавя почта считаются в Stg, а те, которые инициированы снаружи, это входящая почта - не считаются. Возник вопрос, а платим ли мы провайдеру за траффик этой почты? =) Внимание вопрос: как заставить Stg считать этот траффик?

 

PS А еще какие-то отрицательные величины в "посл. деньги" появились в конфигураторе =(

[Max 0]

1. покажите ваши rulez

2.

Возник вопрос, а платим ли мы провайдеру за траффик этой почты? =)

Это следует спросить у вашего провайдера

3.

Внимание вопрос: как заставить Stg считать этот траффик?

выполнить для начала п.1

PS А еще какие-то отрицательные величины в "посл. деньги" появились в конфигураторе =(

Просто не обращайте внимания

[ROM_VD 0]

Вопрос был риторический - провайдер считает этот траффик. Он вообще считает весь траффик прошедший через наш интерфейс.

Проблемка-то другого порядка.

Мне вот видится такое решение: например, надо как-то в Stg сделать так правила, что бы почтовый траффик между почтовиком и роутером учитывался по етим портам отдельно. Просто получается что роутер подменяет заголовки IP пакетов при входящей почте...

 

Но я хочу услышать мнение гуру.

[Max 0]

вы проигнорировали мой пост?

покажите ваши рулез.

укажите в настройках сервера внутренний интерфейс для данного аккаунта.

[ROM_VD 0]

О! Простите пожалуйста, не заметил.

 

Ip внутреннего интерфейса роутера 192.168.1.10

Ip почтовика 192.168.1.1

 

rules:

 

ALL 192.168.1.0/24 DIR0

ALL 0.0.0.0/24 DIR1

 

>укажите в настройках сервера внутренний интерфейс для данного аккаунта

вот это не совсем понял где делается

[Max 0]

надо так:

ALL 192.168.1.0/24 DIR0

TCP 192.168.1.11/32:25 DIR1

TCP 192.168.1.11/32:110 DIR1

ALL 0.0.0.0/0 DIR2

 

 

DIR1 - это mail

Интерфейс указывается в свойствах пользователя через виндовый конфигуратор.

Или Iface= в файле $server_root/users/$login/conf

[ROM_VD 0]

Спасибо.

о чем-то подобном я и думал

 

Небольшое уточнение:

 

TCP 192.168.1.11/32:25 DIR1

TCP 192.168.1.11/32:110 DIR1

 

почему 11 ? ошибка? /32 обязательно указывать?

 

И в каком порядке отрабатывают правила? Не будет ли дублирования?

Может так:

 

TCP 192.168.1.1:25 DIR1

TCP 192.168.1.1:110 DIR1

ALL 192.168.1.0/24 DIR0

ALL 0.0.0.0/0 DIR2

 

???

 

>Интерфейс указывается в свойствах пользователя через виндовый конфигуратор

 

Там все Ip всем клиентам привязаны. И серверу то же прописано соответсвенно 192.168.1.1

Только на что это повлияет в нашем контексте немного не понимаю.

[Max 0]

Спасибо.

о чем-то подобном я и думал

 

Небольшое уточнение:

 

TCP 192.168.1.11/32:25 DIR1

TCP 192.168.1.11/32:110 DIR1

 

почему 11 ? ошибка? /32 обязательно указывать?

 

И в каком порядке отрабатывают правила? Не будет ли дублирования?

Может так:

 

TCP 192.168.1.1:25 DIR1

TCP 192.168.1.1:110 DIR1

ALL 192.168.1.0/24 DIR0

ALL 0.0.0.0/0 DIR2

 

???

 

>Интерфейс указывается в свойствах пользователя через виндовый конфигуратор

 

Там все Ip всем клиентам привязаны. И серверу то же прописано соответсвенно 192.168.1.1

Только на что это повлияет в нашем контексте немного не понимаю.

пардон с 11 ошибка надо 1.1

можно и /24 и даже /0 всё зависит от того что вы хотите посчитать в случае /32 будет учёт почты по хосту, в случае /24 учёт почты в сети, а в случае /0 будет учёт почты в интернете.

Правила отрабатывают по порядку без дублирования и повторов, до первого срабатывания.

TCP 192.168.1.1:25 DIR1

TCP 192.168.1.1:110 DIR1

ALL 192.168.1.0/24 DIR0

ALL 0.0.0.0/0 DIR2

Хз, как поведёт себя биллинг, я предпочитаю перестраховаться и явно задать диапазон ip сети сети, а точнее хоста (/32)

Если разжевать ваши правила то получится

Учёт почты по хосту 192.168.1.1:25

Учёт почты по хосту 192.168.1.1:110

Подсчёт трафика по локалке в томчисле и броадкаст

Учёт всего остального

Думаем, делаем выводы, хотя я бы всё же добавил /32

 

Про иф:

Для ответа на ваш вопрос спрошу: какая у вас система *BSD или Linux?

[ROM_VD 0]

Правила отрабатывают по порядку без дублирования и повторов, до первого срабатывания.

 

Значит более узкие диапазоны и адреса должны стоять раньше. С этим разобрались.

 

/32 понятно. Я просто думал, что если явно указать Ip то можно не указывать, но лучше укажу =)

 

Для ответа на ваш вопрос спрошу: какая у вас система *BSD или Linux?

 

Linux, Debian

Я уже спрашивал вот тут http://local.com.ua/forum/index.php?showtopic=5514

 

И еще вроде критично устанавливать DIR0, DIR1 и т.д. по порядку. Или это не важно? Т.е. полный набор будет:

 

TCP 192.168.1.1/32:25 DIR0

TCP 192.168.1.1/32:110 DIR0

ALL 192.168.1.0/24 DIR1

ALL 0.0.0.0/0 DIR2

 

Спасибо!

[ROM_VD 0]

В общем ничего не выросло...

 

TCP 192.168.1.1/32:25 DIR0

TCP 192.168.1.1/32:110 DIR0

ALL 192.168.1.0/24 DIR1

ALL 0.0.0.0/0 DIR2

 

По таким правилам ничего на DIR0 не начисляется =(

Опять всеь почтовый траф попадает в аплоад на Интрнет-DIR2 (но это-то и понятно, направление нужное) и даунлоад на Локальный-DIR1.

 

Т.е. при редиректе что-то надо делать по другому...

А знаете почему? А ведь редирект по рендом портам устанавливается скорее всего...

Народ, помогайте пожалуйста!!!

[ROM_VD 0]

Ау! Вопрос открыт до сих пор.

Неужели никто не поднимал почтовик внутри сети?

[Max 0]

Если честно ничего не понял в вашем предыдущем посте

НАрисуйе схему, и раскаите поподробней....

[ROM_VD 0]

про рендом порты ето я неверно написал, ступил проще говоря =/

все остально как было так и осталось

завтра смогу подкрепить правилами iptables, обеспечивающими редирект

 

еще раз, что бы систематизировать:

 

есть роутер - машина с Stg и две сетевухи - мир и локалка

есть клиентские машины в локалке 192.168.1.x

есть почтовик 192.168.1.1

 

почтовый сервер лезет наружу на 25е порты других почтовиков и отдает почту

направление 0.0.0.0

траффик попадает в аплоад траффик Интернета

правило

ALL 0.0.0.0/0 DIR2

 

далее

 

клиенты снаружи и другие почтовики лезут на порты 110 и 25 соответственно роутера (комп с Stg), внешний IP которого прописан у прова как mx

а iptables пробрасывает их внутрь на 192.168.1.1

 

так вот в правила, которые были написаны недавно по результатам этой темы

 

TCP 192.168.1.1/32:25 DIR0

TCP 192.168.1.1/32:110 DIR0

 

почему-то ничего не попадает

 

мне кажется, этот трафиик все равно попадает в download Локальный

правило ALL 192.168.1.0/24 DIR1

 

в общем не понятно почему

я хотел узнать как Stg вообще работает с такими пакетами

[DaGuTa 0]

Ау! Вопрос открыт до сих пор.

Неужели никто не поднимал почтовик внутри сети?

Уважаемый, отдели мух от котлет, а то сложно понять что именно тебе нужно! У меня стоит почтовик правила прописаны как и у тебя, все прекрасно считается. Если из локалки юзеры тянут почту с сервера.

У меня 2 локальных интерфейса и один наружу, соответственно роутер имеет 2 ip: 192.168.0.4 и 192.168.1.4

 

ICMP 0.0.0.0/0 NULL

# Mail

TCP 192.168.0.4/32:110 DIR1

TCP 192.168.0.4/32:25 DIR1

TCP 192.168.1.4/32:110 DIR1

TCP 192.168.1.4/32:25 DIR1

#Локальный трафик

ALL 192.168.0.0/24 DIR0

ALL 192.168.1.0/24 DIR0

# Мир, тo всё что не попало под предыдущие правила

ALL 0.0.0.0/0 DIR2

 

Единственное тут важен порядок правил!

 

Если тебе надо считать еще и когда почту тянут с наружи, то это другой вопрос и я так мыслю это уже не дело stargazer, хотя могу ошибаться.

[ROM_VD 0]

У DaGuTa все Совсем не так как у меня.

 

Почтовик это Windows 2003 SBS (контроллер домена и т.п.), поэтому посадить его на отдельный интерфейс и в отдельную подсеть нет смысла. К тому же мне не надо считать траффик, которым юзеры обмениваются с почтовиком. Мне вообще не очень интересен локальный траффик между юзерами и роутером, но для порядка считаю его.

Задача в общем:

Как из локальной сети опубликовать в Интернет любой ресурс, и чтобы траффик этого ресурса считался Stg правильно. Ресурс может быть любым - почтовый сервер, ftp-сервер, www-сервер.

В моем случае почтовый сервер для Stg это такой же клиент как и другие юзера в локалке.

 

Ситуация по моему банальна. Мухи и котлеты разжеваны дальше некуда :tongue:

 

Если тебе надо считать еще и когда почту тянут с наружи, то это другой вопрос и я так мыслю это уже не дело stargazer, хотя могу ошибаться.

 

По моему Stg должен считать это без проблем. Он же может сегментировать траффик по портам? И если не Stg, то чье это дело?

[ROM_VD 0]

Вот инициализация:

 

#!/bin/bash

 

office=192.168.1.33 # машина админа

 

server0=192.168.1.10 # смотрит внутрь

server1=x.x.x.x #смотрит наружу

server2=192.168.1.1 # внутренний почтовый сервер

 

iface_cli=eth0

iface_world=eth1

 

conf_port=5554

user_port=5555

 

echo "1" > /proc/sys/net/ipv4/ip_forward

 

iptables -t filter -F

iptables -t filter -X

iptables -t nat -F

iptables -t nat -X

 

iptables -t filter -P INPUT DROP

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT DROP

 

iptables -t filter -A INPUT -p icmp -j ACCEPT

iptables -t filter -A FORWARD -p icmp -j ACCEPT

iptables -t filter -A OUTPUT -p icmp -j ACCEPT

 

iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

 

iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT

iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

 

# Stargazer конфигуратор

iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport $conf_port -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport $conf_port -j ACCEPT

 

# Stargazer InetAccess

iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 -d $server0 --dport $user_port -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d 192.168.1.0/24 -s $server0 --sport $user_port -j ACCEPT

 

# перенаправление портов 25 и 110 на внутренний почтовый сервер

iptables -t nat -A PREROUTING --dst $server1 -p tcp --dport 25 -j DNAT --to-destination $server2

iptables -t nat -A POSTROUTING -p tcp --dst $server2 --dport 25 -j SNAT --to-source $server0

iptables -t nat -A OUTPUT --dst $server1 -p tcp --dport 25 -j DNAT --to-destination $server2

iptables -t nat -A PREROUTING --dst $server1 -p tcp --dport 110 -j DNAT --to-destination $server2

iptables -t nat -A POSTROUTING -p tcp --dst $server2 --dport 110 -j SNAT --to-source $server0

iptables -t nat -A OUTPUT --dst $server1 -p tcp --dport 110 -j DNAT --to-destination $server2

 

# роутер ходит Internet

iptables -t filter -A INPUT -i $iface_world -j ACCEPT

iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

 

# маскарад

iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

[ROM_VD 0]

странно

вроде задача типовая, а ответа нету =(

[Max 0]

вопрос: у вас в DIR0 вообще ничего не попадает?

[ROM_VD 0]

Ничего.

[Max 0]

Приведите ещё раз ваши рулез, с комментариями по поводу того что за IP адреса вы там используете.

Ещё интересен такой вопрос: а какой трафик по вашему должен падать в данное направление? (от кого к кому)

[ROM_VD 0]

192.168.1.0 - локалка

192.168.1.1 - почтовик в локалке, который получает доступ и из Интернета

 

Вот рулесы:

 

TCP 192.168.1.1/32:25 DIR0

TCP 192.168.1.1/32:110 DIR0

ALL 192.168.1.0/24 DIR1

ALL 0.0.0.0/0 DIR2

 

В DIR0 я думал будут попадать пакеты, которые приходят из Интернета на внешний IP моей сети и далее переадресуются машиной с Stg SMTP и POP3 серверу, который находится в лоскалке и получает эти пакеты методом проброса (см правила iptables). Но этого не происходит.

 

Меня интересует возможность считать этот траффик.

 

Но я, однако, удивлен. Никто чтоли из локалки ресурсы в Интернет никогда не публиковал? Я по моему очень подробно уже все написал в предыдущих постах.

[Max 0]

хм, странно, должно работать...

А если слово TCP заменить на ALL в первых двух строках? Тогда туда что нибудь падать будет?

Ещё, он онлайн то есть?

[ROM_VD 0]

С ALL не стартанул (и правильно =) ) и онлайн, конечно есть.

Основной момент - не понятно как Stg отслеживает прокинутые порты. Написал разработчикам письмо - ответа пока не получил.

[Max 0]

С ALL не стартанул (и правильно =) )

Так вы порт уберите...

[sky 0]

а не проще ли так

TCP_UDP 0.0.0.0/0:25 DIR**

TCP_UDP 0.0.0.0/0:110 DIR**

и какая разница куда и как за почтой ходят?

или почта по отдельному тарифу ходит местная и мир?