снова о портфорвардс

pioneer

доброго дня, настраиваю pf 2.3.2,  запнулся на пробросе для почтовика , остальные пробросы  работают нормально ( rdp, http)  почта даже изнутри  ходит через внешний интерфейс (*.ru прописано на белый ип) , внутри сети  всё работает, а наружу нет, причём письма не возвращаются с ошибкой о доставке. Маны прокурены, nat reflection отключен, переступил через собственное эго и написал  :)  заранее спасибо за помощь

pigbrother

На машине с почтой:
Отключен\настроен файрволл?
IP pfSense - default gateway?
Провайдер не блокирует TCP:25?

Если обратиться снаружи не по имени, а по IP?
Проверьте этим:
http://www.canyouseeme.org

pioneer

всё так, на почтовике файрвол совсем отключил, шлюз как надо,  провайдер невиновен.  Написал с майла, там пришла ответка с ошибкой  "retry timeout exceeded"  вот собсссно  как выглядят правила

pigbrother

И все же, что говорят телнет снаружи и
http://www.canyouseeme.org
при обращении по IP?

a_ivanov

А DNS прокурен? ;)

Записи о Вашем почтовике хоть где-то есть?

Вам правильно советуют постучаться по ip, если увидите приветствие от сервака, то все ОК - проброс работает.

И вообще, судя по сообщению, сервак наружу совсем ничего не может, ни принять, ни отправить…ему хоть в интернет-то то у Вас там можно?

pioneer

@pigbrother:

И все же, что говорят телнет снаружи и
http://www.canyouseeme.org
при обращении по IP?

закрыто и 110 и 25,  не пущает,  файрвола правила есть, создаю автоматически

pioneer

@a_ivanov:

А DNS прокурен? ;)

Записи о Вашем почтовике хоть где-то есть?

Вам правильно советуют постучаться по ip, если увидите приветствие от сервака, то все ОК - проброс работает.

И вообще, судя по сообщению, сервак наружу совсем ничего не может, ни принять, ни отправить…ему хоть в интернет-то то у Вас там можно?

намедне всё работало,  упокоилась железка  на которой стоял pf 1.2, решил по быстрому переехать на виртуалку и 2.3 всё остальное работает,  а это нет .

a_ivanov

@pioneer:

@pigbrother:

И все же, что говорят телнет снаружи и
http://www.canyouseeme.org
при обращении по IP?

закрыто и 110 и 25,  не пущает,  файрвола правила есть, создаю автоматически

Я еще только недавно начал сенс ковырять вообще, но вижу у себя, например, что при настройке записи порт-форвардинга в нат, при включении галки "создавать ассоциированоое правило в фаерволе" создается только разрешающее входящее правило для интерфейса WAN. Если при этом Default allow LAN to any rule во вкладке LAN фаерволла задизеблено, то проброс работать не будет, без явного разрешения портов для пробрасываемого сервака во вкладке LAN.

В общем, трудно гадать что там у Вас, не зная настроек…

werter

Доброе.

Скрины настроек LAN,WAN.

Что шлюзом у почтового сервера ? Проверьте. Должен быть lan ip pf.

pigbrother

@werter:

Доброе.

Скрины настроек LAN,WAN.

Что шлюзом у почтового сервера ? Проверьте. Должен быть lan ip pf.

Про шлюз я ТС уже писал.

pioneer

Господа, всем спасибо за помощь, тему можно закрыть или  продолжить из академического интереса. За выходные переехал в облако, не было уже сил терпеть страдания пользователей. Скрины настроек  ла и ван  постить ссыкотно немного) Но повторюсь, все остальные пробросы работают, pf шлюзом у почтовика всё как должно быть. Могу запостить  правила файрвола для этого проброса.

werter

Доброе.
А Вы часом к почт. серверу ИЗНУТРИ лок. сети не по ВНЕШНЕМУ ли ИМЕНИ или IP его обращаетесь ?

pioneer

это так, но сайт проброшенный аналогичным правилом показывает и внутри и снаружи, доменное имя на внутреннемднс прописано на белый ип. Но порт снаружи не видно, хотя другие сервисы доступны как из самой сети так и снаружи.

a_ivanov

О, батенька,  да у Вас там ужас какой-то с ДНС….

pigbrother

А Вы часом к почт. серверу ИЗНУТРИ лок. сети не по ВНЕШНЕМУ ли ИМЕНИ или IP его обращаетесь ?

При включенном nat reflection это вполне работоспособно.

Но у  ТС

nat reflection отключен

werter

Доброе.
2 pioneer

это так, но сайт проброшенный аналогичным правилом показывает и внутри и снаружи, доменное имя на внутреннемднс прописано на белый ип. Но порт снаружи не видно, хотя другие сервисы доступны как из самой сети так и снаружи.

В чем проблема сопоставить на внутреннем ДНС имя почтового сервера с его локальн. ip-адресом ? И после на клиентах сделать ipconfig /flushdns от имени Админ-ра. Или же Split DNS, но это сложнее.

Зы. Если в кач-ве dns работает pf - можно настроить domain\host override на нем.

a_ivanov

@pigbrother:

А Вы часом к почт. серверу ИЗНУТРИ лок. сети не по ВНЕШНЕМУ ли ИМЕНИ или IP его обращаетесь ?

При включенном nat reflection это вполне работоспособно.

Но у  ТС

nat reflection отключен

Вот и я про то же, что отключен, это раз, ну и про то, что это изврат, это два ;) Как минимум будем иметь проблемы с внутренней  почтой при падающем инете, в общем, кругом сплошные "плюсы" :(

pigbrother

Я не призываю использовать nat reflection вместо DNS.
Скажем, просто подчеркнул, что у ТС nat reflection отключен. ;)

pioneer

@a_ivanov:

О, батенька,  да у Вас там ужас какой-то с ДНС….

а что не так?)

pioneer

друзья,  это конечно изврат как настроено чтобы на почту из локали через белый ип ходило, но у этого есть причины, но так всё работало на предыдущей pF,  почта внутри сети ходит, а нуружу и снаружи нет.

werter

Доброе.
Логи почтовика покажите.