Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - rubic

Pages: 1 ... 4 5 [6]
76
Russian / Re: Вопрос
« on: March 21, 2012, 09:17:14 am »
:) и о чём это может говорить ?
о том, что отлуп в виде:
Code: [Select]
SMTP error code 504, 5.5.2 <имя компьютера>: Helo command rejected: need fully-qualified hostnameпроисходит на этапе отправки письма с почтового клиента на сервер Grom'а, а не на этапе его передачи с сервера Grom'а на почтовый сервер реципиента письма. Эта версия выглядит более правдоподобно в свете того, что участник форума Grom настойчиво не хочет настраивать авторизацию в почтовом клиенте)) Хотя вашу версию тоже нельзя исключать, но выставить в сеть сервер, у которого нет FQDN - это как-то уж очень экзотичный вариант))
Считаю дальнейший спор бессмысленным. Пока участник Grom не скажет, что у него стоит в <имя компьютера>, это все-равно будет гаданием на кофейной гуще.

77
Russian / Re: переадресация портов
« on: March 21, 2012, 08:54:09 am »
Итак, тем, кому необходимо чтобы веб-сервер находящийся в локальной сети был доступен по его доменному имени как из локальной сети, так и снаружи, предлагаю простой способ. В то время как внешние DNS сервера разрешают доменное имя веб-сервера во внешний IP zentyal, внутренний DNS сервер, обслуживающий локальную сеть, должен разрешать его в локальный IP сервера. Для простой "плоской" локальной сети, где веб-сервер находится в одном broadcast domain со всеми остальными компьютерами, достаточно лишь пробросить 80-й порт снаружи на веб-сервер и настроить внутренний DNS. Если внутри сети DNS запросы обслуживает zentyal, последнее можно сделать например так:
DNS -> Domains -> Add new
Domain: example.com (имя вашего домена)
IP Address: 192.168.1.253 (локальный IP веб-сервера)
Add
Save changes
теперь снаружи nslookup example.com выдаст:
Code: [Select]
Non-authoritative answer:
Name:    example.com
Address:  192.0.43.10
а изнутри:
Code: [Select]
Name:    example.com
Address:  192.168.1.253
внешние пользователи будут попадать на веб-сервер через проброшенный на zential порт, а внутренние - непосредственно по локальному IP, минуя zentyal.

Это, повторюсь, простой случай. Теперь для GriefNorth'а. У вас веб-сервер находится в DMZ, отгороженный от остальной локальной сети. Так что клиенты из локальной сети пойдут на веб-сервер через zentyal. Само по себе это никак не мешает работе способа приведенного выше. Zentyal - прежде всего маршрутизатор, и передавать пакеты из одной сети в другую - его работа. Однако прозрачный squid ломает эту схему. Он перехватывает все пакеты с 80-м портом назначения не адресованные непосредственно интерфейсу, который он слушает и где-то запутывается - ничего не работает. Проверено, что стоит отключить squid - все работает прекрасно. Понятно, что squid отключать не хочется, а надо сделать так, чтобы он не перехватывал 80 порт, когда запрос идет на внутренний веб-сервер.
Сделать это можно пробросом 80-го порта с интерфейса eth2 на адрес веб-сервера.
Code: [Select]
eth2 Zentyal TCP 80 Any 192.168.1.253 SameТ.к. squid не перехватывает пакеты адресованные самим интерфейсам zentyal, опубликовав 80-й порт на eth2 мы избавимся от глючного проксирования локального веб-сервера. Теперь для локальной сети 192.168.2.0/24 адресом веб сервера будет локальный адрес zentyal (192.168.2.56). Но мы хотим обращаться к сайту по имени. Для нашего случая настройки DNS будут другими:
DNS -> Domains -> Add new
Domain: имя вашего домена
IP Address: 192.168.2.56
Add
Save changes

78
Russian / Re: переадресация портов
« on: March 21, 2012, 08:53:39 am »
Еще раз опубликовал на другой машине сайт. Все работает
Не забывайте, что 443 порт, на котором у вас висит сайт не проксируется squid'ом в прозрачном режиме. Порты, которые не идут через прокси у GriefNorth тоже прекрасно работают. А вот 80-й - не хочет. Дело у него очевидно именно в squid, который не может по неизвестной причине корректно отдать страницу с сервера 192.168.1.253.
Ради интереса соединил 3 виртуалки в такую же схему как и у GriefNorth и могу предложить свой способ решения проблемы. Возможно, в свете идеологии iptables, ваш способ лучше, но я его так до конца и не понял. Так что заранее извиняюсь и забудем пока то, что я писал в предыдущем посте.

79
Russian / Re: Вопрос
« on: March 20, 2012, 03:46:02 pm »
А 504 - это всего лишь тайм-аут или по русски, слишком длинное ожидание ответа. Вывод. Сервер очень долго не мог ответить запросу почтового КЛИЕНТА...

80
Russian / Re: переадресация портов
« on: March 20, 2012, 03:05:04 pm »
Ох и наворотили! Попробуйте сделать вот что: в Firewall -> Port Forwarding найдите запись
Interface: eth2
Original destination: IP Address xx.xx.xx.xx/32
Original destination port: Single port 80
Source: Any
Destination IP: 192.168.1.253
Port: Same
Replace source address: x

и измените ее следующим образом:

Interface: eth2
Original destination: IP Address xx.xx.xx.xx/32
Original destination port: Single port 8080
Source: Any
Destination IP: 192.168.1.253
Port: Other 80
Replace source address: o

заходите на гуй почтового сервера по http://xx.xx.xx.xx:8080

squid-то, чай, не прозрачный? Тогда в браузере надо внести исключения: не использовать прокси-сервер для адресов начинающихся с...

81
Russian / Re: Вопрос
« on: March 20, 2012, 02:19:38 pm »
Ставлю $10 на свой вариант))

82
Russian / Re: Вопрос
« on: March 20, 2012, 01:29:50 pm »
Так он и отправляет не с другого сервера, а с клиента (The Bat, Outlook...). Человек, судя по его постам, отказался от SASL аутентификации поверх TLS, отсюда все его проблемы.
Если вы посмотрите конфиг postfix в zentyal, то увидите:

smtpd_recipient_restrictions =
permit_sasl_authentificated,
permit_mynetworks,
...
reject_non_fqdn_helo_hosname,

Т. е. отправка писем через данный сервер без дополнительных проверок разрешена только для тех клиентов, кто прошел аутентификацию и тех, кто в списке mynetworks. Вот я ему и привел способ занести локалку в mynetworks. MX запись, о которой вы говорите, к ограничению reject_non_fqdn_helo_hostname не имеет никакого отношения.
Zentyal по умолчанию требует TLS и SASL, из ГУИ это не отключается. Если не настроить в клиенте STARTTLS/TLS, то отправка почты будет возможна только для клиентов из внутренней сети и только тем способом, который я описал.

83
Russian / Re: переадресация портов
« on: March 20, 2012, 06:08:08 am »
NAT reflection Судя по всему, так и не реализовали эту фичу. На месте страждущих я бы все же не занимался извратом, пробрасывая порты через роутер между компами находящимися в одном broadcast domain. Как уже было замечено, достаточно просто настроить внутренний DNS сервер так, чтобы он по запросу к доменному имени сервера выдавал локальный IP.

84
Это известная проблема прохождения GRE через NAT. Ответы идущие от одного внешнего PPTP сервера к двум и более машинам в вашей локальной сети с точки зрения Zentyal и некоторых других дистрибутивов - неразличимы. Поэтому одно соединение работает нормально, а второе завести не дает, т.к. сразу станет не понятно кому из клиентов перенаправлять ответ.
Забейте и воспользуйтесь советом mravil.

85
Russian / Re: Вопрос
« on: March 20, 2012, 04:24:45 am »
Ругается на то, что <имя компьютера>, с которого вы пытаетесь отправить почту через ваш сервер, не является FQDN (условно у вас компьютер представляется серверу как "grom", а zentyal требует чтобы он представлялся по-человечески, как "grom.domain.tld").
 
Попытаться решить проблему через веб-интерфейс можно так:
в Mail -> General -> Relay Policy for network objects, жмем Add a new one
в поле Name пишем "LAN", жмем Add
в поле Name пишем "lan", в поле IP address: прописываем локальную сеть (192.168.0.0/24 или что там у вас) жмем Add, жмем Done, жмем Add

Это нормально для домашнего сервера, но на предприятии все же лучше настроить аутентификацию, иначе любой находящийся в локальной сети сможет слать через ваш сервер все что угодно, кому угодно и от кого угодно.

Pages: 1 ... 4 5 [6]