faq обучение настройка
Текущее время: Чт мар 28, 2024 13:36

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 29 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Пн фев 12, 2018 16:11 
Не в сети

Зарегистрирован: Пн фев 12, 2018 10:41
Сообщений: 10
В компании стоит dfl-860E, который раздает интернет в локальную сеть. В локальной сети настроили почтовый сервер exchange 2013, на роутере сделали проброс портов http://joxi.ru/52aYbWbt458OL2. Проблема в том, что при получении письма почтовым сервером роутер заменяет ip-адрес отправителя на свой локальный адрес. Т.к. роутер находится в доверенной зоне почтового сервера анти спам пропускает эти письма.
Вопрос как настроить проброс портов так что бы dfl не подменял IP локальным в идеале оставлял тот что там был, или хотя бы ставил свой внешний IP, что бы письма не приходили из доверительной сети?

Пример настройки правила проброса порта:
http://joxi.ru/l2Z6bzbSw10bk2

По логике надо в Source Translation поменять NAT на SAT и указать внешний IP роутара что бы работал второй вариант, но тогда почта вообще не доходит до сервера, менял и на AUTO результат тот же, подскажите что не так?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн фев 12, 2018 16:20 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
viewtopic.php?f=3&t=174821
у меня стоит SAT+Allow , но и почтовик EXIM

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн фев 12, 2018 16:48 
Не в сети

Зарегистрирован: Пн фев 12, 2018 10:41
Сообщений: 10
Vladimir22 писал(а):
http://forum.dlink.ru/viewtopic.php?f=3&t=174821
у меня стоит SAT+Allow , но и почтовик EXIM

Извиняюсь буду задавать глупые вопросы так как компетенции не хватает, или жаргона)
почитал вашу тему но не совсем понял где и как прописывать у меня в Source Translation есть только это http://joxi.ru/V2VK404uxZeOpA


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн фев 12, 2018 16:57 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
http://www.dlink.ru/ru/faq/85/480.html
прочтите вдумчиво. Переработайте с учетом вашей прошивки и вашего устройства. Идея ни как не изменилась - порядок действий тоже !!!!

правила должны следовать SAT за ним Allow ! - только так !
и поднимите правила выше всех .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн фев 12, 2018 17:12 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Раз происходит подмена адреса, то у вас работает пара правил SAT+ NAT, а надо пару правил SAT + Allow для проброса SMTP порта.

Ну и, как было отмечено, расположить их выше всех остальных правил и папок правил.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср фев 14, 2018 12:42 
Не в сети

Зарегистрирован: Пн фев 12, 2018 10:41
Сообщений: 10
Что совсем не работает
Пробую настроить правила SAT + Allow, для этого создал отдельную папку в Rules, сделал ее первой в ней создал три правила
Вложение:
rules_mail.jpg
rules_mail.jpg [ 87.03 KiB | Просмотров: 5153 ]

после чего отключаю старое правило
Вложение:
rules_25.jpg
rules_25.jpg [ 24.41 KiB | Просмотров: 5153 ]

после проверяю из вне telnet на 2 порт не работает, что не так?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср фев 14, 2018 12:55 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
sat any/all-nets core/all-nets сервис (все нужные кто там 110 и 25 ) SAT- IP_сервера
Allow any/all-nets core/all-nets сервис (все нужные кто там 110 и 25 )

ВСЕ !!!!!!!!!!!!!
заработает - модернизуруйте для себя :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср фев 14, 2018 13:26 
Не в сети

Зарегистрирован: Пн фев 12, 2018 10:41
Сообщений: 10
Vladimir22 писал(а):
sat any/all-nets core/all-nets сервис (все нужные кто там 110 и 25 ) SAT- IP_сервера
Allow any/all-nets core/all-nets сервис (все нужные кто там 110 и 25 )

ВСЕ !!!!!!!!!!!!!
заработает - модернизуруйте для себя :-)

Вроде все так и настроил но не работает
Поправил
Вложение:
rules_25_2.jpg
rules_25_2.jpg [ 74.11 KiB | Просмотров: 5152 ]

Вот они же
Вложение:
SAT_rules_25.jpg
SAT_rules_25.jpg [ 114.4 KiB | Просмотров: 5152 ]

Вложение:
allow_rules_25.jpg
allow_rules_25.jpg [ 103.54 KiB | Просмотров: 5152 ]

но telnet на 25 порт так и не подключается(


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср фев 14, 2018 14:51 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
смотрите сервер
и когда с наружи телнетом , в соединениях виден этот запрос ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт фев 15, 2018 12:15 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Если Вы все правила делаете как эти, то неудивительно возникновение проблем.

Нормальные правила:

SAT wan1 all-nets core wan1_ip smtp-in (вкладка SAT: dest IP -> сервер)
Allow wan1 all-nets core wan1_ip smtp-in

Расположите их по отдельности или в папке выше всех остальных IP-правил и папок IP-правил.

Вообще, вопрос плевый! Пробростьте для начала правильными правилами любой TCP сервис, который удобно проверить снаружи. Например, RDP или http. Может быть, придумаете что-то получше этого.

Сначала полуправильными правилами SAT+NAT. А потом правильными SAT+Allow. Имеется ввиду пара правил, расположенных друг за другом.

1. И расскажите об успехах.

2. И еще. Какие порты Вы успешно ранее пробрасывали на DFL?

3. Кроме того, очевидная, но необходимая вещь. Почтовый сервер должен выходить в инет через DFL и адрес DFL должен быть указан у сервера как основной шлюз. Это так?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Чт фев 15, 2018 12:49, всего редактировалось 3 раз(а).

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт фев 15, 2018 12:40 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
2 last-m:
" Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил." (с)

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт фев 16, 2018 17:10 
Не в сети

Зарегистрирован: Пн фев 12, 2018 10:41
Сообщений: 10
YuriAM писал(а):
Если Вы все правила делаете как эти, то неудивительно возникновение проблем.

Нормальные правила:

SAT wan1 all-nets core wan1_ip smtp-in (вкладка SAT: dest IP -> сервер)
Allow wan1 all-nets core wan1_ip smtp-in

Расположите их по отдельности или в папке выше всех остальных IP-правил и папок IP-правил.

Вообще, вопрос плевый! Пробростьте для начала правильными правилами любой TCP сервис, который удобно проверить снаружи. Например, RDP или http. Может быть, придумаете что-то получше этого.

Сначала полуправильными правилами SAT+NAT. А потом правильными SAT+Allow. Имеется ввиду пара правил, расположенных друг за другом.

1. И расскажите об успехах.

2. И еще. Какие порты Вы успешно ранее пробрасывали на DFL?

3. Кроме того, очевидная, но необходимая вещь. Почтовый сервер должен выходить в инет через DFL и адрес DFL должен быть указан у сервера как основной шлюз. Это так?


Спасибо, за большое и развернутый ответ. Особенно за совет попробовать пробросить двумя правилами другой порт, я пробросил RDP заработало, поменял на SMTP не работает, попробовал на другой сервер пробросить SMTP заработало, выяснил в чем разница, почтовый сервер подключен через IPSec, сейчас буду смотреть почему не проходят пакеты из вне в IPSec


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт фев 16, 2018 17:22 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
last-m писал(а):
выяснил в чем разница, почтовый сервер подключен через IPSec, сейчас буду смотреть почему не проходят пакеты из вне в IPSec


route print ->c:\route.txt
файл в студию

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт фев 16, 2018 19:29 
Не в сети

Зарегистрирован: Пн фев 12, 2018 10:41
Сообщений: 10
Vladimir22 писал(а):
last-m писал(а):
выяснил в чем разница, почтовый сервер подключен через IPSec, сейчас буду смотреть почему не проходят пакеты из вне в IPSec


route print ->c:\route.txt
файл в студию

Вложение:
route.jpg
route.jpg [ 53.48 KiB | Просмотров: 5067 ]


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс фев 18, 2018 13:02 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Я про ваш сервер, а не dfl.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 29 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 39


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB