nixp.ru v3.0

27 мая 2017,
суббота,
10:59:51 MSK

DevOps с компанией «Флант»
genddos написал 4 февраля 2009 года в 16:48 (1033 просмотра) Ведет себя неопределенно; открыл 1 тему в форуме.

Ситуация: локальная сеть 192.168.0.0/24 в которой есть шлюз 192.168.0.1 на котором стоит FreeBSD 7.0( ipfw,natd,squid )

Через NAT нужна разрешить лазить на почту к gmail ( порты 465,995 ).

Клиент подключается к gmail, но письма не забираются, процецесс доходит до этапа получения писем ( перед этим определяет их кол-во ) и тут — timeoute, а вот smtp работает без проблем. Причем если фаер имеет кофиг вида:

ipfw add divert 8668 ip from any to any via ${if_net}

ipfw add allow log ip from any to any

то серавно ситуация прежняя, но как то с этим набором почта работала.

Но если письма забирать минуя шлюз ( с самого шлюза напрямую ), почта забирается без проблем.

Вот набросок IPFW:

#!/bin/sh

# ———————- #

if_lan=«em0»

if_mnd=«em1»

if_net=«ng0»

if_lop=«lo0»

m_gmail=«465,995»

network=«192.168.0.0/24»

# ———————- #

# Stop Firewall

ipfw disable firewall

# Clear Firewall

ipfw -q flush

# loopback

ipfw add 99 allow ip from any to any via ${if_lop}

# SSH

ipfw add 100 allow ip from any 59001 to any out via ${if_lan}

ipfw add 101 allow ip from any to any 59001 in via ${if_lan}

# *NATD: ng0

ipfw add 200 divert 8668 log ip from ${network} to any out via ${if_net}

ipfw add 201 divert 8668 log ip from any to any in via ${if_net}

# DNS

ipfw add 700 allow udp from any to any 53 keep-state

# ICMP

ipfw add 800 allow icmp from any to any

#

ipfw add 850 allow ip from me to any out via ${if_net}

ipfw add 851 allow ip from any to me in via ${if_net}

# Allowed LAN traffic

ipfw add 900 allow tcp from any to any via ${if_lan}

ipfw add 901 allow udp from any to any via ${if_lan}

ipfw add 903 allow icmp from any to any via ${if_lan}

#

ipfw add 1100 allow tcp from me to any out via ${if_net}

ipfw add 1200 allow tcp from any to me in via ${if_net}

#

ipfw add 1300 allow tcp from any 465,995 to any in via ${if_net}

ipfw add 1301 allow tcp from any to any 465,995 out via ${if_net}

# Block

#ipfw add 2000 deny log ip from any to any

# Start Firewall

ipfw enable firewall

ps: Если же использовать почту tut.by или mail.ru с этими правилами ipfw, почта клиентам доставляется.