Re[2]: [OBORONA-SPAM] Re: [Comm] вопрос по настройке почты и NAT

Anton Gorlov =?iso-8859-1?q?Pnz=2EStalker_=CE=C1_mail=2Eru?=
Сб Май 21 13:06:53 MSD 2005 

Здравствуйте, Плуталовский.

Вы писали 21 мая 2005 г., 12:51:25:

> cat /proc/sys/net/ipv4/ip_forward
> смогу только в понедельник дать.
> Простите, вам наверное будет смешно, но я читая доки по настройке шлюза
> понял, что маскарад и NAT это одно и то же. Просто плаваю пока в этом деле
> :)

Не совсем одно и тоже -- в нате явно указывается акой адресс
подставлять, а маскарадинг подствляет авдресс того интерфейся, с
которого пакет уходит.

> Я просто включил форфардинг в /etc/sysctrl, после этого из внутренней сети
> все равно ничего не пинговалось , кроме шлюза. Потом полез лапатить 
> iptables, потому как знакомый когда шлюзы делал, пользовался им. Там
> прописал стандартное правило -A POSTROUTING -o ppp0 -j MASQURADE
> После этого инет стал раздаваться. Причем mail.ru пингуется нормально, а мой
> домен mail.firma.ru только со шлюза, но не из нутри.
У меня вот что сделано:

[root на ring sysconfig]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  anywhere             anywhere            to:192.168.1.111
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Исходящий интерфейс --192.168.1.111 и пакетам подставляеся адресс
192.168.1.111.

А что показывает tracert mail.firma.ru на клиентских машинах? Может с
ДНС проблемы? Или (что скорее всего) --роутинг?

> Поясните пожалуйста различие между NAT и MASQUARADE, чем лучше пользоваться
> и самое главное, как каждый из них настраивается, можно ссылки на HOW-TO.
Маскарадинг применяется при динамическом Ип. Если у вас статический
--то лучше НАТ. Ссылки на how-to замечательно ищутся через goоgle...
Хотя если надо --могу и по мылу свою подборку кинуть.

> Вобщем-то цель была создать максимально защищенный шлюз, чтоб раздавал
> инернет. Причем на нем устанавливать почтовый сервер, базы данных, сквид,
> веб-сервер или еще что-нибудь не планируется, поэтому хотелось бы по
> максимуму все порты закрыть.
Чем меньше открыто тем лучше... (да-да.. я знаю чт оя псих)

А воьбще с этим лучше перейти в isp-list [at] altlinux.org.ua

-- 
С уважением,
 Anton                          mailto:Pnz.Stalker на mail.ru
                                     FIDO: 2:5059/37

Подробная информация о списке рассылки community