Jump to content
Калькуляторы

Mikrotik RB2011UiAS-2HnD не пропускает почту наружу

Уважаемые коллеги

Mikrotik RB2011UiAS-2HnD не пропускает почту наружу,как я понимаю изза не корректной настройки работы с 443 портом.потому что так же не работает c Exschange Any есть веб-интерфейс и синхронизация с телефонами. Если почту завернуть на этот порт принудительно то все сайты использующие SSL автоматом подменяются на почтовый внутренний. так как их много тот же Google это не вариант.

Можете посоветовать правила работающие в конфигурации

Почта 25 и 443 порт

FTP 21 порт

Интернет приходит через SFP Раздается через eht1

Share this post


Link to post
Share on other sites

Вопрос с 443 портом разрешился, осталось создать правило что бы почта ходила наружу

Share this post


Link to post
Share on other sites

Вопрос разрешился если кому понадобиться решение то оно просто как два пальца

Табличка в NAT должна выглядеть так как в приложенном файле.

 

Или выполнить команды в терминале.

 

/ip firewall nat add action=dst-nat chain=dstnat dst-port=25 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=25

/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=443

/ip firewall nat add action=masquerade chain=srcnat out-interface=sfp1

Share this post


Link to post
Share on other sites

/ip firewall nat add action=dst-nat chain=dstnat dst-port=25 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=25

/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=443

 

Можно в одно правило в общем-то. Ну и вообще согласно ману netmap предпочтительнее ибо быстрее.

/ip firewall nat add action=netmap chain=dstnat dst-port=25,443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3

Share this post


Link to post
Share on other sites

"Можно в одно правило в общем-то. Ну и вообще согласно ману netmap предпочтительнее ибо быстрее.

/ip firewall nat add action=netmap chain=dstnat dst-port=25,443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3"

 

Я то же так думал, как оказалось зря, работало что-то одно или почта на 25 порту или AnyWere на 443

Развел по разным строчкам и работает нормально, что это глюк, баг или фича не знаю, но в supporte Mikrotik мне подтвердили правильность

моих действий.

Share this post


Link to post
Share on other sites

Как оказалось Mikrotik лучшее решение для лечения скуки

теперь не работает FTP причем когда не работала почта, FTP работал как миленький.

Теперь принимаем пакет отправляем его на FTP и глохнем

Share this post


Link to post
Share on other sites

Использовать пассивный фтп в клиенте или фтп-алг на тике запустить/настроить.

Share this post


Link to post
Share on other sites

Проблема в том что FTP тиковский встроенный не потянет объем.

У же сейчас на FTP 500 Мб данных. И даже если вставить флеху на 32 Гб.

Как отвести её под FTP я не понял.

А проброска порта в NAT дает странную картину.

Я вижу пакет запроса который уходит на FTP а вот обратного движения не наблюдаю.

Edited by GAlileoHelpDesk

Share this post


Link to post
Share on other sites

Подцепил флешку на 8 Гб и пока использую встроенный FTP

Но правильное решение все же хотелось бы понять

Share this post


Link to post
Share on other sites

Подцепил флешку на 8 Гб и пока использую встроенный FTP

Но правильное решение все же хотелось бы понять

А FTP то у вас где?

Share this post


Link to post
Share on other sites

Сейчас пользуюсь встроенным на MikroTik, а обычно внутри сети естественно отдельная машина.

Просто внутри сети все ходит естественно без вопросов, до установки Тика в качестве маршрутизатора.

Share this post


Link to post
Share on other sites

Сейчас пользуюсь встроенным на MikroTik, а обычно внутри сети естественно отдельная машина.

Просто внутри сети все ходит естественно без вопросов, до установки Тика в качестве маршрутизатора.

Добавляете два правила в dst-nat на 20 и 21 порт на адрес ftp. Из локалки обращаетесь к ftp по внутреннему адресу а из мира по внешнему адресу микротика.

Share this post


Link to post
Share on other sites

connection-type=ftp в форвардинге указан?

Share this post


Link to post
Share on other sites

В цепочке filter forward у вас что сейчас? Суть в том что ftp (как и sip трафик, tftp, pptp и сотни их) требует хелперов в iptables при активном режиме т.к. навстречу запросу открывается новое соединение с другого порта и iptables просто не понимает этого как established или related соединение. В итоге если у вас в конце цепочки явный дроп всего, это новое соединение тупо блокируется. Поэтому я и предлагал выложить сюда ваши правила для оценки.

Share this post


Link to post
Share on other sites

В тему призывается Saab95!

да вот хер он появится, он появляется там, где можно пофлудить. А когда реальная проблема - его нет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this