iCEDmAN Опубликовано 24 марта, 2015 проблемка с отправкой сообщений через фаирвол (cisco router) настроен статический нат порт в порт (25) ip nat inside source static tcp IP_LAN 25 IP_WAN 25 extendable входящие проходят, исходящие нет (Winsock Error 10060) wireshark видит запросы НЕ с 25 порта 10.10.10.10 64.233.163.26 TCP 66 53148->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 10.10.10.10 64.233.163.26 TCP 66 53149->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 10.10.10.10 64.233.163.26 TCP 66 53150->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 10.10.10.10 64.233.163.26 TCP 66 [TCP Retransmission] 53148->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 10.10.10.10 64.233.163.26 TCP 66 [TCP Retransmission] 53149->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 10.10.10.10 64.233.163.26 TCP 66 [TCP Retransmission] 53150->25 [sYN, ECN, CWR] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 это так и должно быть? подскажите где что подкрутить спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkmatter Опубликовано 24 марта, 2015 Запости show ip nat translations Проверь правильные ли интерфейсы указал как nat inside и nat outside Посмотри еще фаервол на меил сервере и acl на интерфейсах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iCEDmAN Опубликовано 24 марта, 2015 интерфейсы правильные при открытии (ACL) доступа в инет хосту на котором стоит мейлер (MDaemmon) почта начинает уходить но хотелось бы не давать ему доступ в инет, а перечислить необходимые для его работы порты в идеале 25 и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkmatter Опубликовано 24 марта, 2015 Если почта должна только принимается, то 25го порта внутрь должно быть достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iCEDmAN Опубликовано 24 марта, 2015 приниматься она принимается проблема с отправкой как раз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 24 марта, 2015 wireshark видит запросы НЕ с 25 порта Ну так и должно быть. Откройте в ACL: MAIL_IP tcp gt 1024 -> 0.0.0.0/0 tcp eq 25 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iCEDmAN Опубликовано 24 марта, 2015 thanks, сделал gt 50000 - заработало, при выключенном инете на компе. а почему gt 1024, не многовато ли? в логах MDaemon-а ниже 50000 не опускался пока (мониторим) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 24 марта, 2015 Из личного опыта: До недавнего времени был в эксплуатации этот самый MDaemon, ходил в инет через НАТ на кошке 2811. Были чудеса с прохождением писем по SMTP, в основном снаружи. Выяснилось, что причиной был включенный по дефолту на кошке протокол инспектор для SMTP. Мне оказалось проще его отключить, чем разбираться с настройками, и его взаимодействием с антиспамом почтаря. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iCEDmAN Опубликовано 24 марта, 2015 спасибо, помониторим, если что - отключим Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 24 марта, 2015 thanks, сделал gt 50000 - заработало, при выключенном инете на компе. а почему gt 1024, не многовато ли? в логах MDaemon-а ниже 50000 не опускался пока (мониторим) Излишняя паранойя вредна. Если на сервере есть возможность задать конкретно диапазон портов - задайте, и, тогда, можно выставить тот диапазон, который вы указали. А пока диапазон портов ничем не ограничен не нужно создавать себе проблем. Ну и, честно говоря, я не вижу смысла в вашей паранойе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iCEDmAN Опубликовано 25 марта, 2015 запросил у разработчиков инфу по портам хорошо, спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...