Здравствует !
Я купил и осознавал, что я покупаю СТАБИЛЬНОСТЬ роутер Mikrotik RB951
Имеется почтовый сервер iRedMail на Centose 7 - поднял, настроил работает ( сертификаты, учетки и т д ) все норм.
купил белый IP.
подключил его в 4 порт
его адрес прописан на карточке 192.168.0.15
в НАТе указал порты проброса ДС-НАТ 25,587,110,995,143,993,465 на ip 192.168.0.15
письма уходят и доходят до адресата, но не приходят ответы т.е. письма не приходят.
где что пропустил ?
Спасибо
P.S.: интернет по рррое на 1 порту
Nat вот так выглядит:
add action=dst-nat chain=dstnat dst-port=25 log=yes log-prefix="===EM25===" protocol=tcp to-addresses=192.168.0.15 to-ports=25
add action=dst-nat chain=dstnat dst-port=465 log=yes log-prefix="===EM465===" protocol=tcp to-addresses=192.168.0.15 to-ports=465
add action=dst-nat chain=dstnat dst-port=587 log-prefix="===EM587==" protocol=tcp to-addresses=192.168.0.15 to-ports=587
add action=dst-nat chain=dstnat dst-port=995 log=yes log-prefix="===EM995===" protocol=tcp to-addresses=192.168.0.15 to-ports=995
add action=dst-nat chain=dstnat dst-port=110 log=yes log-prefix="===EM110===" protocol=tcp to-addresses=192.168.0.15 to-ports=110
add action=dst-nat chain=dstnat dst-port=143 log=yes log-prefix="===EM143===" protocol=tcp to-addresses=192.168.0.15 to-ports=143
add action=dst-nat chain=dstnat dst-port=993 log=yes log-prefix="===EM993===" protocol=tcp to-addresses=192.168.0.15 to-ports=993
P.S.1: с мобильного телнетом проверял порты отвечают, так же телнетом на майл пробивался на 25 порт проходит
Песочница. Проброс портов для E-mail сервера.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
1) Надо в NAT правила добавить либо dst-address=ваш_внешний-адрес либо in-interface=ваш_внешний_интерфейс в зависимости от того, что лучше подходит по логике, иначе получается, что роутер вообще все пакеты по данным портам перенаправляет на 192.168.0.15
2) В firewall'е есть правило разрешающее все то же самое?
Или вообще глобальное, которое разрешает всё, что было подвергнуто dst-nat?
И ещё пару замечаний:
3) если в NAT правиле порт не меняется, его можно не указывать.
4) если не нужна будет статистика по пакетам по каждому порту, это все можно одним правилом описать:
2) В firewall'е есть правило разрешающее все то же самое?
Или вообще глобальное, которое разрешает всё, что было подвергнуто dst-nat?
И ещё пару замечаний:
3) если в NAT правиле порт не меняется, его можно не указывать.
4) если не нужна будет статистика по пакетам по каждому порту, это все можно одним правилом описать:
Код: Выделить всё
add action=dst-nat chain=dstnat dst-address=внешний_адрес dst-port=25,587,110,995,143,993,465 protocol=tcp to-addresses=192.168.0.15Telegram: @thexvo
-
Loma64
- Сообщения: 21
- Зарегистрирован: 20 авг 2019, 21:49
т.е. dst-address=1.1.1.1 или in-interface=pppoe
В firewall'е -нет правил для почтовика.
Типа: ip firewall filter add chain=forward src-address=192.168.0.15/32 protocol=tcp dst-port=25 action=accept
Я думал, что тоже самое что пробросить 3389 на его примере и сделал.
нет такого, а это как?
Ааааа.... что так можно было ?!xvo писал(а): ↑25 сен 2019, 23:08Код: Выделить всё
add action=dst-nat chain=dstnat dst-address=внешний_адрес dst-port=25,587,110,995,143,993,465 protocol=tcp to-addresses=192.168.0.15
Последний раз редактировалось Loma64 26 сен 2019, 07:23, всего редактировалось 1 раз.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Можно 
2) когда много адресов(внешних), порой явно указание в правиле проброса нужногоо адреса = позволяет более правильно
и в нужное место сделать проброс
Правда всегда есть НО:
при таком пробросе, (особенно для почтовика) = Вы не будете видеть входящие адреса подключения,
поэтому некоторые лимиты, ограничения, какие то списки будет не просто, а порой и не возможно
сделать на почтовике.
2) когда много адресов(внешних), порой явно указание в правиле проброса нужногоо адреса = позволяет более правильно
и в нужное место сделать проброс
Правда всегда есть НО:
при таком пробросе, (особенно для почтовика) = Вы не будете видеть входящие адреса подключения,
поэтому некоторые лимиты, ограничения, какие то списки будет не просто, а порой и не возможно
сделать на почтовике.
-
Loma64
- Сообщения: 21
- Зарегистрирован: 20 авг 2019, 21:49
наверное тут все от меня угорают
)))рекомендуете каждый порт отдельно прописать ?
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Были "кадры" очень похлеще.
И это в том числе, но рекомендую через таблицу MAGLE
сделать PREROUTING каждого порта, и тогда при внешнем
обращения с IP внешнего на Ваш порт скажем 25,
роутер не будет делать DST (и обращение на Ваш почтовик придёт
уже не от локального адреса роутера), а придёт прямо прямой внешний адрес
на Ваш сервер почтовой в этот 25-й порт.
Говорю обобщённо, сам так не делал, у меня почтовые сервера сами с реальными адресами,
но коллега (на линуксе шлюз у него) он так сделал. И у него в почтовике реальные адреса подключения.
А файрволл линукса и микротика в общем-то одинаковы.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Я не знаю, как у вас firewall устроен, но если он всё, что не разрешено в явном виде сбрасывает, то нужно такого типа правило:
Код: Выделить всё
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=pppoeИли можно просто дублировать правила из NAT.
Ну в общем, так или иначе, но что-то такое должно быть.
Тот факт, что пакет был подвергнут обработке в NAT совсем не означает, что он автоматом избавляется от необходимости пройти firewall.
Telegram: @thexvo
-
Loma64
- Сообщения: 21
- Зарегистрирован: 20 авг 2019, 21:49
xvo писал(а): ↑26 сен 2019, 08:55Loma64 писал(а): ↑26 сен 2019, 07:14 Я не знаю, как у вас firewall устроен, но если он всё, что не разрешено в явном виде сбрасывает, то нужно такого типа правило:Код: Выделить всё
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=pppoeУ меня в NATe вот так:
где 8*.1**.2**.1** - мой белый IP адресКод: Выделить всё
chain=dstnat action=dst-nat to-addresses=192.168.0.223 protocol=tcp dst-address=8*.1**.2**.1** dst-port=25,587,110,995,143,993,465 log=yes log-prefix="===EM==="
в файрволе
если что то пойдет не так вечером скинуКод: Выделить всё
add action=dst-nat chain=dstnat dst-address=8*.1**.2**.1** dst-port=25,587,110,995,143,993,465 log=yes log-prefix="===EM_ALL===" protocol=tcp to-addresses=192.168.0.15
время +2 МСК
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Telegram: @thexvo