офис-сервер 4.0 невозможно читать почту мэйлером

[Skull]

Дааа, как всё запущено... я понимаю если бы новичок зелёный прочитал мой пост и ничего не понял... Это известная трабла альтов и тянется она ещё с СОХО сервера 2.3... Ладно, я отстал... просто альты всё больше и больше проигрывают в моих глазах именно человеческим фактором, т.е. отношением к критике и совершенным наплевательством к своим партнёрам которые на местах вынуждены исправлять альтовые косяки и ещё при этом убеждать клиента что так и надо... Кривое - зато русское, о!

А что мешает включить правила тремя кликами для POP и SMTP в настройках брандмауэра?

[shotsdv]

Совершенно ничто не мешает, кроме одного - это офис-сервер который ДОЛЖЕН по определению быть ПОЛНОСТЬЮ настроенным для нужд МАЛЕНЬКОЙ фирмы.

[evg-krsk]

Перестаньте упорствовать в глупости.

[nucleon]

может не совсем по теме вопрос но все же
есть шлюз, за ним "куча" компьютеров работников,
нужно некоторым! из них дать возможность выходить за шлюз только! почтой (забирать/отправлять)

предложенные выше конфигурации немного посмотрел, но как это сделать не понял...
в конфигурации "nat" отписывается, как для двух под сетей сделать прозрачный нат и ничего нет о "протоколах" почты
пожалуйста ткните туда, где это посмотреть можно.
Если это конфигурация "squid"`а, то укажите пожалуйста название параметра...

может это вообще не так делается? в смысле не фаерволом и проксёй?

[Const]

Код: [Выделить]

cat /etc/services | grep pop3
cat /etc/services | grep smtp
cat /etc/services | grep imapЕсли, конечно, я правильно понял ваш вопрос

[nucleon]

Код: [Выделить]

cat /etc/services | grep pop3
cat /etc/services | grep smtp
cat /etc/services | grep imapЕсли, конечно, я правильно понял ваш вопрос

нет меня видимо не так поняли, попробую пояснить...
мне нужно сделать что-то вроде "проброса" pop3 и smpt трафика через шлюз
т.е. с моей сети сидят клиенты которые хотят забрать/отправить почту из внешнего почтового сервера, и
при этом сервера почты заранее не известны... т.е. любые
можно сделать переброс на прокси сервер, но можно ли это сделать и как я не знаю...

[Const]

ну так iptables и знание портов в руки

[nucleon]

чет помучил я  фаервол и понял что где-то не правильно у меня...
а что не пойму...
через альтератор передаю следующие параметры:
-p udp
-o eth1
-j MASQUERADE
--sport 25

eth1 - внешний интерфейс
где ошибся?

[Const]

я так и не понял. почтовый сервер у вас на этой машине (--sport 25 указано) или всё-таки снаружи и вам надо ходить за почтой далеко (--dport 25)?

[nucleon]

почтовые сервера естественно снаружи, т.е. на территории провайдеров (уточняю для ясности)
сеть выглядит следующим образом:
почтовый сервер в интернете - интернет - шлюз (он же прокси сервер)- конечный пользователь
соответственно нужно поставить на шлюз правило которое или перенаправит трафик таким образом чтоб конечный пользователь смог получить почту
собственно есть по-моему  два варианта:
1 организовать это средствами нат
2 сделать "проброс" через прокси сервер (только я не уверен, что SQUID это позволяет)
вопрос - как это сделать?
я не совсем понимаю правила, которые нужно задать ...

[Drool]

Блин...
http://forum.altlinux.org/index.php?action=search2;params=YWR2YW5jZWR8J3wwfCJ8YnJkfCd8MTEsMSwyLDMsNCwxMiw1LDYsNyw4LDksMTAsMTMsMTR8InxzaG93X2NvbXBsZXRlfCd8fCJ8c3ViamVjdF9vbmx5fCd8fCJ8c29ydHwnfHJlbGV2YW5jZXwifHNvcnRfZGlyfCd8ZGVzY3wifHNlYXJjaHwnfG5hdF9zcXVpZC50YXIuYnoy

[nucleon]

это все я уже видел, ток не понял в реализации
попробую уточнить - сквид вообще транслировать через себя почту может? в смысле  pop и smtp
если да то как завернуть пользаков на проксю...
если такой возможности нет, то как выпустить через нат исключительно почтовый трафик... (чтоб все остальное не проходило...)
сейчас сделал на шлюзе  проброс  с 80 порта на порт прокси так, что в инет ходим... а вот повернуть почту так не получилось... почему-то...

[Salomatin]

это все я уже видел, ток не понял в реализации

Проверял, работает:
iptables -t nat -A POSTROUTING -s 10.0.3.41 -d 217.217.217.217 -o eth1 -p tcp --dport 25 -j SNAT --to 116.116.116.116
   Разрешаем прямой доступ к внешней почте. Подробнее: разрешаем доступ хосту 10.0.3.41 из внутренней сети обращаться к хосту 217.217.217.217 на 25 порт (smtp) протокола tcp; такие обращения пропускаем через интерфейс eth1, который имеет адрес 116.116.116.116
 Для доступа к РОР добавляем такое же правило для порта 110
iptables -t nat -A POSTROUTING -s 10.0.3.41 -p tcp --dport 25 -j MASQUERADE
   Более короткое правило, аналогичное вышеприведённому, только здесь пользователь с ip 10.0.3.41 имеет доступ к любому почтовому серверу в Интернете.

[pulink]

пошаговая инструкция основателю темы, как получать внешнюю почту.
Допустим:
1.2.3.4 - внешний ИП-адрес шлюза
eth0 - внешний интерфейс шлюза
192.168.0.1 - внутренний ИП-адрес шлюза, должен быть прописан у юзеров
192.168.0.2 - ИП директора, который должен получать почту без проблем
Тогда:
Заходим в /etc/net/ifaces/default/fw/iptables/nat/, добавляем в файл POSTROUTING строчку:
-s 192.168.0.2 -o eth0 -j SNAT --to-source 1.2.3.4
Данная строчка дает ИП-шнику 192.168.0.2 полный доступ, не только к почте. Если только к почте, то нужны две строчки. Описаны постом выше, или так:
-s 192.168.0.2 -o eth0 -j SNAT -p tcp --dport 25 --to-source 1.2.3.4
-s 192.168.0.2 -o eth0 -j SNAT -p tcp --dport 110 --to-source 1.2.3.4
После этого заходим на сервер через веб-интерфейс, https://192.168.0.1:8080, сеть-сетевой экран-применить. Там же отобразится эта, введенная вручную, строчка: режим эксперта-таблица NAT-POSTROUTING-редактировать.
P.S. исправил опечатку с --dport

[nucleon]

а если ip динамический
и кстати dport с двумя -- а не с одной...