SMTP Server von "aussen" nicht erreichbar

I.MC

Watt soll denn hier hin?
Hi!

Ich habe hier intern einen SMTP Server aufgesetzt. Nun habe ich ihn soweit, dass ich ihn von aussen über portforwarding über eine dyndns.org Adresse bereitstellen möchte. Ok, ich habe bereits einige Dienste hier laufen, die alle wunderbar auf diese Weise erreichbar sind. Nur hier geht das irgendwie nicht, warum keine Ahnung. Da is alles dicht. Intern kann ich mich wunderbar verbinden (über die interne IP).

Brauch ich da nen MX Eintrag oder wie? Denke doch nicht...

IPF Regel:

pass in log first quick on ng0 proto tcp from any to 10.0.0.5/32 port = 25 flags S keep state


IPNAT Regel:

rdr ng0 0/0 port 25 -> 10.0.0.5 port 25


Also ich bin für jeden Tipp dankbar!

Gruß, incmc
 
Ein Schuss ins Blaue:
Wenn du einen dyndns-account hast, wird sich vermutlich deine IP ständig ändern. Es ist jetzt recht unwahrscheinlich, das du die IP-Adresse 10.0.0.5 von deinem Provider bekommst.

Also kann die IPF Regel nicht funktionieren, denn du erlaubst alle Verbindungen an 10.0.0.5 ... aber von "aussen" hast du doch eine andere IP.
 
Jetzt überlege bitte mal was du da erzählt hast und gucke dir die Regeln noch einmal an :-) Ich erlaube alle Verbindungen ÜBER ng0 (meine öffentliche IP) nach 10.0.0.5. Das ist schon richtig so. Aber es geht einfach nicht.

incmc
 
Tja, da habe ich es wohl. Ich kann auf Port 25 legen was ich will, der ist geblockt und zwar muß das ja dann von meinem Provider ausgehen. Tja, dann habe ich halt einen anderen Port genommen :-)

Gruß, incmc
 
Da habe ich jetzt irgendwo einen gewaltigen Denkfehler und sehe den Wald vor lauter Bäumen nicht.
Deine IPF-Regel besagt doch:
Erlaube alle Verbindungen die über dein externes Interface (ng0) laufen, von irgendwo her stammen (any) und an 10.0.0.5/32 Port 25 gerichtet sind.

Angenommen du bekommst die öffentliche IP 1.2.3.4
Die ankommenden Pakete haben als Empfangsadresse 1.2.3.4:25 (sonst würde es ja nicht bis zu dir durchgestellt und an deinem Router ankommen)
Erlaube Pakete über das externe Interface : trifft zu
Erlaube Pakete von jeder AbsenderIP : trifft zu
Erlaube Pakete die an 10.0.0.5/32 gerichtet sind : trifft NICHT zu 1.2.3.4 != 10.0.0.5

Deine Regel müsste dann doch

pass in log first quick on ng0 proto tcp from any to any port = 25 flags S keep state

lauten.
Sorry, wenn ich jetzt etwas doof nachfrage aber wenn dem nicht so ist, habe ich etwas gewaltig nicht verstanden.
 
@XPectIT

Die NAT-Regel greift doch vor der Filterregel. Somit werden alle Pakete für Port 25 auf die IP 10.0.0.5 umgelenkt bevor der Filter zum Zuge kommt.

=>Erlaube Pakete die an 10.0.0.5/32 gerichtet sind : trifft DOCH zu 1.2.3.4 -> 10.0.0.5

Gruß,

Ice
 
Ah, Danke Ice.
Wieder etwas gelernt. Das IPNAT vor IPF greift hatte ich nicht gewusst.

/me konfiguriert heute Abend seinen Paketfilter neu ;)
 
Back
Top