Exim VS Firewall

@karakulov · Регистрация: 04.11.2010

Студворк — интернет-сервис помощи студентам

Проблема такая:

есть внешний интерфейс eth0 имеет IP x.x.x.190 (ип внешний)
внутренний eth1 имеет IP 10.0.1.254
есть алиас eth0:ex2 имеет IP x.x.x.175 (ип внешний)

а еще есть exim.
а в конфиге exim есть такое:

...
local_interfaces = 127.0.0.1 : 10.0.1.254 : x.x.x.175
...

и даже такое:

...
remote_smtp:
driver = smtp
interface = x.x.x.175
...

Требуется чтобы exim принимал соединения на адрес x.x.x.175 и инициировал соединения с него же.

Если брандмауэр выключен - все происходит как надо
Если включен - exim принимает соединения на адрес x.x.x.175 НО инициирует с x.x.x.190

Вопрос: как настроить фаер у меня уже мозг кипит
Спасибо :-)

@odip · 04.11.2010, 15:19

Очень интересно
По идее iptables никак не должен влиять на то с какого IP-адреса exim отправляет почту

Добавлено через 20 минут
http://www.exim.org/exim-html-... eclocipadd

В случае если несколько IP-ников рекомендуют выставить еще
extra_local_interfaces

@karakulov · 05.11.2010, 10:02 **[ТС]**

Решение нашлось, вот оно:

Для iptables алиасы интерфейсов значения не имеют. Следовательно, весь ваш исходящий трафик попадает под правило MASQRADE идёт с адреса x.x.x.190. Есть различные варианты исправления правил iptables. ИМХО, самый простой, сделать:

iptables -t nat -I POSTROUTING -o eth0 -s x.x.x.175 -p tcp --dport 25 -j ACCEPT

Тогда исходящие smtp соединения не будут натится.

@odip · 05.11.2010, 14:24

Ха!
Строго говоря ты должен настроить iptables так чтобы ВЕСЬ исходящий траффик с x.x.184.175 шел именно с этого IP-адреса
Иначе у тебя еще что-нибудь будет вместо него отсылаться x.x.184.190

@karakulov · 05.11.2010, 15:56 **[ТС]**

дело в том что этот интерфейс нужен только для почты, а все остольное должно висеть на 190 интерфейсе :-)

@odip · 05.11.2010, 17:53

Ну так почта не только 25-ый порт использует
Еще бывает SMTP over SSL

@karakulov · 08.11.2010, 08:31 **[ТС]**

Я вкурсе

Дальнейшая настройка труда не составит

@odip · 08.11.2010, 14:36

Ну так пришли к тому что я говорил
Надо выпустить весь исходящий траффик с x.x.184.175
а не только 25-ый порт

@karakulov · 08.11.2010, 14:52 **[ТС]**

Просто мне это не нужно

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

@karakulov 0 / 0 / 0 Регистрация: 04.11.2010 Сообщений: 5

	Exim VS Firewall 04.11.2010, 10:06. Показов 3089. Ответов 8 Метки нет (Все метки) Проблема такая: есть внешний интерфейс eth0 имеет IP x.x.x.190 (ип внешний) внутренний eth1 имеет IP 10.0.1.254 есть алиас eth0:ex2 имеет IP x.x.x.175 (ип внешний) а еще есть exim. а в конфиге exim есть такое: ... local_interfaces = 127.0.0.1 : 10.0.1.254 : x.x.x.175 ... и даже такое: ... remote_smtp: driver = smtp interface = x.x.x.175 ... Требуется чтобы exim принимал соединения на адрес x.x.x.175 и инициировал соединения с него же. Если брандмауэр выключен - все происходит как надо Если включен - exim принимает соединения на адрес x.x.x.175 НО инициирует с x.x.x.190 Вопрос: как настроить фаер у меня уже мозг кипит Спасибо :-) 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	04.11.2010, 15:19
	Очень интересно По идее iptables никак не должен влиять на то с какого IP-адреса exim отправляет почту Добавлено через 20 минут http://www.exim.org/exim-html-... eclocipadd В случае если несколько IP-ников рекомендуют выставить еще extra_local_interfaces 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	05.11.2010, 14:24
	Ха! Строго говоря ты должен настроить iptables так чтобы ВЕСЬ исходящий траффик с x.x.184.175 шел именно с этого IP-адреса Иначе у тебя еще что-нибудь будет вместо него отсылаться x.x.184.190 0

@karakulov 0 / 0 / 0 Регистрация: 04.11.2010 Сообщений: 5
	05.11.2010, 15:56 [ТС]
	дело в том что этот интерфейс нужен только для почты, а все остольное должно висеть на 190 интерфейсе :-) 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	05.11.2010, 17:53
	Ну так почта не только 25-ый порт использует Еще бывает SMTP over SSL 0

@karakulov 0 / 0 / 0 Регистрация: 04.11.2010 Сообщений: 5
	08.11.2010, 08:31 [ТС]
	Я вкурсе Дальнейшая настройка труда не составит 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	08.11.2010, 14:36
	Ну так пришли к тому что я говорил Надо выпустить весь исходящий траффик с x.x.184.175 а не только 25-ый порт 0

@karakulov 0 / 0 / 0 Регистрация: 04.11.2010 Сообщений: 5
	08.11.2010, 14:52 [ТС]
	Просто мне это не нужно 0