lonely wolf wrote: >mda. tot nu merge. >stind acum si rumegind la cele zise de tine ieri, apropo de ordinea in >care se face prelucrarea pachetelor, incep sa cred ca nici nu va merge. >corectati-ma daca gresesc: >- pachetul de initiere a conexiunii vine prin eth2 (provider 2), avind >ca adresa destinatie EXTERNAL_IP2 >- in PREROUTING regula de DNAT ii rescrie destinatia in IP_MAIL >- se face rutarea care il arunca inspre serverul de mail din spate >- serverul de mail raspunde. pachetele vor avea - evident - ca sursa >adresa serverului de mail iar ca destinatie adresa celui care a initiat >conexiunea de la pasul 1 >- se face rutarea pe baza regulilor ip rule/ip route. evident ca orice >regula care ia in considera "pachetele cu sursa egala cu EXTERNAL_IP2" >nu va face match, din simplul motiv ca la acest punct pachetele au ca >sursa IP_MAIL. ca atare pachetele vor iesi prin interfata specificata de >ruta default >- in POSTROUTING se reface conform tabelei de conntrack adresa sursa a >pachetelor, prin inlocuirea IP_MAIL cu EXTERNAL_IP2 (DNAT-ul pt >pachetele de raspuns) > >Cum reguli de rutare pe baza IP_MAIL nu se pot pune (e adresa publica a >serverului de mail, valida prin providerul 1), se pare ca trebuie sa ma >gindesc la alt sistem. ideile care imi vin acum >a) -j ROUTE ; a facut cineva experimente cu chestia asta ? >b) un SNAT care sa minareasca pachetele DNAT-uite, astfel incit sa stiu >sa diferentiez ulterior raspunsurile serverului de mail pe baza adresei >destinatie si nu a celei sursa. problema e ca in acest caz se fac >prastie logurile de mail :( > > Da, asa ziceam si io. Poate reusesti sa mangluiesti pachetele in vreun fel care sa te ajute in decizia de rutare.
>Si ca raspuns la o intrebare/sugestie de ieri: prefer sa evit sa fac >modificari pe masina care e server de mail. Printre altele si pt ca nici >nu e linux si nici nu il controlez eu. > > > Poti sa pui un redirect in xinetd pe $IP2:25 care sa forwardeze catre serverul de mail, numai ca trebuie sa ai grija ca serverul de mail sa nu faca relay pentru ip-ul ruterului.
