URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 19035
[ Назад ]

Исходное сообщение
"FreeS/WAN and sendmail..."
Отправлено lomo , 25-Июл-02 17:05

Привет!
Вот такая вот ситуевина.
Поднял я туннель FreeS/WAN 1.95 (2.2.19) <-> Cisco PIX 515.
Все вроде работает, но есть одно "но".
На PIX(е) прописан ACL, который разрешает прохождение пакетов только с 192.168.x.0/24. Соответственно на той же Linux-машине, на готорой стоит FreeS/WAN стоит sendmail 8.12.4, который прекрасно работает. :-)
Но при поднятии туннеля (в таблицу маршрутизации на Linux(е) прописывается маршрут на уделенную сеть), sendmail при попытке послать почту в удаленную сеть ясное дело обламывается, т.к. "подписывается" IP-адресом внешнего интерфейса, пакеты с которого, судя по "tcpdump -i ipsec0" уходят с билетом в один конец.
Попытки маскарада, как я понимаю, заранее обречены на провал, т.к. до цепочки forward ничего не доходит, а к input и output-цепочкам маскарад не применить.
Куда порекоммендуете копать? Можно ли sendmail заставить посылать почту, предназначаенную для конкретной сети/домена, через внутренний интерфейс.
sendmail слушает на 0.0.0.0, т.е. на всех интерфейсах.

Содержание

RE: FreeS/WAN and sendmail...,lavr, 18:32 , 25-Июл-02
- RE: FreeS/WAN and sendmail...,lomo, 20:47 , 25-Июл-02
  - RE: FreeS/WAN and sendmail...,lomo, 17:02 , 26-Июл-02

Сообщения в этом обсуждении

"RE: FreeS/WAN and sendmail..."
Отправлено lavr , 25-Июл-02 18:32

>Привет!
>
>Вот такая вот ситуевина.
>Поднял я туннель FreeS/WAN 1.95 (2.2.19) <-> Cisco PIX 515.
>Все вроде работает, но есть одно "но".
>На PIX(е) прописан ACL, который разрешает прохождение пакетов только с 192.168.x.0/24. Соответственно
>на той же Linux-машине, на готорой стоит FreeS/WAN стоит sendmail 8.12.4,
>который прекрасно работает. :-)
>
>Но при поднятии туннеля (в таблицу маршрутизации на Linux(е) прописывается маршрут на
>уделенную сеть), sendmail при попытке послать почту в удаленную сеть ясное
>дело обламывается, т.к. "подписывается" IP-адресом внешнего интерфейса, пакеты с которого, судя
>по "tcpdump -i ipsec0" уходят с билетом в один конец.
>
>Попытки маскарада, как я понимаю, заранее обречены на провал, т.к. до цепочки
>forward ничего не доходит, а к input и output-цепочкам маскарад не
>применить.
>
>Куда порекоммендуете копать? Можно ли sendmail заставить посылать почту, предназначаенную для конкретной
>сети/домена, через внутренний интерфейс.
>sendmail слушает на 0.0.0.0, т.е. на всех интерфейсах.

можно, посмотри /path/sendmail_sources/cf/README в сторону mailertable:
.domain smtp:[gateway.domain]
типа:
.domain smtp:[удаленный_ip]
должен по идее через тунель пройти если с роутингом все ok.

"RE: FreeS/WAN and sendmail..."
Отправлено lomo , 25-Июл-02 20:47

Не, mailertable тут не при чем..
Проблема решилась подстановкой
в O DaemonPortOptions .. M=bh
Кстати, кто бы мне сказал, где можно найти доку по этим буковкам после M.
Понятно, что www.sendmail.org, а если поконкретнее :-))
У меня sendmail 8.12.4...

"RE: FreeS/WAN and sendmail..."
Отправлено lomo , 26-Июл-02 17:02

Может кому-то окажется полезным...
На глобальном уровне проблема решается с помощью
/sbin/ip route change ... src x.x.x.x
То есть все пакеты, адресованные конкретной сети через конкретный интерфейс (ipsec0) подписываются соответствующим адресом.
У меня Linux 2.2.19..