GAlileoHelpDesk Posted July 13, 2015 Posted July 13, 2015 Уважаемые коллеги Mikrotik RB2011UiAS-2HnD не пропускает почту наружу,как я понимаю изза не корректной настройки работы с 443 портом.потому что так же не работает c Exschange Any есть веб-интерфейс и синхронизация с телефонами. Если почту завернуть на этот порт принудительно то все сайты использующие SSL автоматом подменяются на почтовый внутренний. так как их много тот же Google это не вариант. Можете посоветовать правила работающие в конфигурации Почта 25 и 443 порт FTP 21 порт Интернет приходит через SFP Раздается через eht1 Вставить ник Quote
GAlileoHelpDesk Posted July 13, 2015 Author Posted July 13, 2015 Вопрос с 443 портом разрешился, осталось создать правило что бы почта ходила наружу Вставить ник Quote
GAlileoHelpDesk Posted July 13, 2015 Author Posted July 13, 2015 Вопрос разрешился если кому понадобиться решение то оно просто как два пальца Табличка в NAT должна выглядеть так как в приложенном файле. Или выполнить команды в терминале. /ip firewall nat add action=dst-nat chain=dstnat dst-port=25 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=25 /ip firewall nat add action=dst-nat chain=dstnat dst-port=443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=443 /ip firewall nat add action=masquerade chain=srcnat out-interface=sfp1 Вставить ник Quote
sexst Posted July 13, 2015 Posted July 13, 2015 /ip firewall nat add action=dst-nat chain=dstnat dst-port=25 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=25 /ip firewall nat add action=dst-nat chain=dstnat dst-port=443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 to-ports=443 Можно в одно правило в общем-то. Ну и вообще согласно ману netmap предпочтительнее ибо быстрее. /ip firewall nat add action=netmap chain=dstnat dst-port=25,443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3 Вставить ник Quote
GAlileoHelpDesk Posted July 14, 2015 Author Posted July 14, 2015 "Можно в одно правило в общем-то. Ну и вообще согласно ману netmap предпочтительнее ибо быстрее. /ip firewall nat add action=netmap chain=dstnat dst-port=25,443 protocol=tcp in-interface=sfp1 to-addresses=192.168.1.3" Я то же так думал, как оказалось зря, работало что-то одно или почта на 25 порту или AnyWere на 443 Развел по разным строчкам и работает нормально, что это глюк, баг или фича не знаю, но в supporte Mikrotik мне подтвердили правильность моих действий. Вставить ник Quote
GAlileoHelpDesk Posted July 15, 2015 Author Posted July 15, 2015 Как оказалось Mikrotik лучшее решение для лечения скуки теперь не работает FTP причем когда не работала почта, FTP работал как миленький. Теперь принимаем пакет отправляем его на FTP и глохнем Вставить ник Quote
Ivan_83 Posted July 15, 2015 Posted July 15, 2015 Использовать пассивный фтп в клиенте или фтп-алг на тике запустить/настроить. Вставить ник Quote
GAlileoHelpDesk Posted July 16, 2015 Author Posted July 16, 2015 (edited) Проблема в том что FTP тиковский встроенный не потянет объем. У же сейчас на FTP 500 Мб данных. И даже если вставить флеху на 32 Гб. Как отвести её под FTP я не понял. А проброска порта в NAT дает странную картину. Я вижу пакет запроса который уходит на FTP а вот обратного движения не наблюдаю. Edited July 16, 2015 by GAlileoHelpDesk Вставить ник Quote
GAlileoHelpDesk Posted July 16, 2015 Author Posted July 16, 2015 Подцепил флешку на 8 Гб и пока использую встроенный FTP Но правильное решение все же хотелось бы понять Вставить ник Quote
NikAlexAn Posted July 16, 2015 Posted July 16, 2015 Подцепил флешку на 8 Гб и пока использую встроенный FTP Но правильное решение все же хотелось бы понять А FTP то у вас где? Вставить ник Quote
GAlileoHelpDesk Posted July 16, 2015 Author Posted July 16, 2015 Сейчас пользуюсь встроенным на MikroTik, а обычно внутри сети естественно отдельная машина. Просто внутри сети все ходит естественно без вопросов, до установки Тика в качестве маршрутизатора. Вставить ник Quote
NikAlexAn Posted July 16, 2015 Posted July 16, 2015 Сейчас пользуюсь встроенным на MikroTik, а обычно внутри сети естественно отдельная машина. Просто внутри сети все ходит естественно без вопросов, до установки Тика в качестве маршрутизатора. Добавляете два правила в dst-nat на 20 и 21 порт на адрес ftp. Из локалки обращаетесь к ftp по внутреннему адресу а из мира по внешнему адресу микротика. Вставить ник Quote
GAlileoHelpDesk Posted July 16, 2015 Author Posted July 16, 2015 И такой вариант пробовал, не работает паскуда. От слова вообще. Вставить ник Quote
sexst Posted July 16, 2015 Posted July 16, 2015 connection-type=ftp в форвардинге указан? Вставить ник Quote
GAlileoHelpDesk Posted July 16, 2015 Author Posted July 16, 2015 А где это прописывать? Или как? Вставить ник Quote
sexst Posted July 16, 2015 Posted July 16, 2015 В цепочке filter forward у вас что сейчас? Суть в том что ftp (как и sip трафик, tftp, pptp и сотни их) требует хелперов в iptables при активном режиме т.к. навстречу запросу открывается новое соединение с другого порта и iptables просто не понимает этого как established или related соединение. В итоге если у вас в конце цепочки явный дроп всего, это новое соединение тупо блокируется. Поэтому я и предлагал выложить сюда ваши правила для оценки. Вставить ник Quote
Butch3r Posted July 17, 2015 Posted July 17, 2015 В тему призывается Saab95! да вот хер он появится, он появляется там, где можно пофлудить. А когда реальная проблема - его нет. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.