Ausgehenden Traffic über virt. IP-Adresse
Hallo Leute, wiedereinmal bitte ich die Mitglieder dieser Liste um Hilfe: Ich habe mehrere IP-Adressen für den Linux-Gateway-Rechner zur Verfügung. Über die Haupt-Adresse soll nach wie vor der ganze NAT-Traffic hinaus, aber der SMTP-Verkehr (Source-Port 25) soll über eine weitere virt. Adresse hinaus. Beide IP-Adressen liegen im selben IP-Adress-Bereich direkt hintereinander. z.B. eth0 11.22.33.44 eth0:1 11.22.33.45 Haupt-Verkehr (NAT-Traffic) über 11.22.33.44 SMTP-Verkehr abgehend über 11.22.33.45 Zum Einsatz kommt SuSE-Linux 9.0 mit Kernel 2.4.21-291-smp4G. Bei SuSE-Linux 10.0 habe ich das ganze auch probiert, dort funktioniert es wunderbar mit folgendem Befehl: iptables -I eth0_masq 1 -t nat -p tcp --dport 25 -m policy --dir out --pol none -j SNAT --to-source 11.22.33.45 Nur unter 9.0 erhalte ich folgende Fehlermeldung: iptables v1.2.8: Couldn't load match `policy':/usr/lib/iptables/libipt_policy.so: cannot open shared object file: No such file or directory Wo gehört dieses File dazu ("pin libipc_policy.so" findet leider gar nichts)? Ich möchte für diesen Rechner keinen eigenen Kernel kompilieren. Auch IP-Tables möchte ich darauf nicht erneuern (außer über RPM). Gibt's andere (einfachere) Wege, um zum Ziel zu kommen? Hat jemand eine Idee? Danke im voraus, Günther
On Mon, Feb 06, 2006 at 09:55:06PM +0100, Günther Zisham wrote:
Gibt's andere (einfachere) Wege, um zum Ziel zu kommen?
Was ist denn dein Ziel? Nur den Traffic ueber eine bestimmte IP zu routen wird's ja nicht sein. Ich nehme an, du willst wissen, wie viel Traffic von deinem System durch Mails verursacht wird, oder? Peter
Hallo, Peter Wiersig schrieb:
On Mon, Feb 06, 2006 at 09:55:06PM +0100, Günther Zisham wrote:
Gibt's andere (einfachere) Wege, um zum Ziel zu kommen?
Was ist denn dein Ziel? Nur den Traffic ueber eine bestimmte IP zu routen wird's ja nicht sein.
Ich nehme an, du willst wissen, wie viel Traffic von deinem System durch Mails verursacht wird, oder?
Die Menge des Traffics ist nicht das Hauptproblem. Da Rechner, die direkt geNATet werden, bringen diese eine Haupt-IP-Adresse des Servers öfters mal in eine Blacklist, sobald einer davon einen Virus drauf hat (viele Windows-Rechner darunter). Ab diesem Zeitpunkt gehen auch keine regulären Mails mehr über den Mail-Server raus (zumindest nicht auf Ziel-Mailserver, die diese Blacklists verwenden). Günther
Hallo, Am Wed, 08 Feb 2006, Günther Zisham schrieb:
Die Menge des Traffics ist nicht das Hauptproblem.
Da Rechner, die direkt geNATet werden, bringen diese eine Haupt-IP-Adresse des Servers öfters mal in eine Blacklist, sobald einer davon einen Virus drauf hat (viele Windows-Rechner darunter). Ab diesem Zeitpunkt gehen auch keine regulären Mails mehr über den Mail-Server raus (zumindest nicht auf Ziel-Mailserver, die diese Blacklists verwenden).
Wieso willst du ein Symptom bekaempfen, ignorierst aber die Ursache? Verhindere, dass Viren auf den Win* Kisten landen. -dnh -- "[...]Yes, Mr. Gates, recently you have helped open source succeed -- in much the same way Osama bin Laden has helped beef up airport security lately." -- Eric S. Raymond, 2001/11/9
David Haller schrieb:
Hallo,
Am Wed, 08 Feb 2006, Günther Zisham schrieb:
Die Menge des Traffics ist nicht das Hauptproblem.
Da Rechner, die direkt geNATet werden, bringen diese eine Haupt-IP-Adresse des Servers öfters mal in eine Blacklist, sobald einer davon einen Virus drauf hat (viele Windows-Rechner darunter). Ab diesem Zeitpunkt gehen auch keine regulären Mails mehr über den Mail-Server raus (zumindest nicht auf Ziel-Mailserver, die diese Blacklists verwenden).
Wieso willst du ein Symptom bekaempfen, ignorierst aber die Ursache? Verhindere, dass Viren auf den Win* Kisten landen.
Ich weiß was Du meinst. Aber die Rechner stehen nicht unter meiner Verwaltung. Die Situation, in der ich bin, hat viel eher Ähnlichkeit mit einem Provider. Günther
Günther Zisham schrieb:
Hallo Leute,
wiedereinmal bitte ich die Mitglieder dieser Liste um Hilfe:
Ich habe mehrere IP-Adressen für den Linux-Gateway-Rechner zur Verfügung. Über die Haupt-Adresse soll nach wie vor der ganze NAT-Traffic hinaus, aber der SMTP-Verkehr (Source-Port 25) soll über eine weitere virt. Adresse hinaus. Beide IP-Adressen liegen im selben IP-Adress-Bereich direkt hintereinander.
z.B. eth0 11.22.33.44 eth0:1 11.22.33.45
Haupt-Verkehr (NAT-Traffic) über 11.22.33.44 SMTP-Verkehr abgehend über 11.22.33.45
Zum Einsatz kommt SuSE-Linux 9.0 mit Kernel 2.4.21-291-smp4G. Bei SuSE-Linux 10.0 habe ich das ganze auch probiert, dort funktioniert es wunderbar mit folgendem Befehl:
iptables -I eth0_masq 1 -t nat -p tcp --dport 25 -m policy --dir out --pol none -j SNAT --to-source 11.22.33.45
Nur unter 9.0 erhalte ich folgende Fehlermeldung: iptables v1.2.8: Couldn't load match `policy':/usr/lib/iptables/libipt_policy.so: cannot open shared object file: No such file or directory
Wo gehört dieses File dazu ("pin libipc_policy.so" findet leider gar nichts)? Ich möchte für diesen Rechner keinen eigenen Kernel kompilieren. Auch IP-Tables möchte ich darauf nicht erneuern (außer über RPM). Gibt's andere (einfachere) Wege, um zum Ziel zu kommen?
Danke an alle, die mir geholfen haben. Zur Info für's Archiv. Ich hab's mit folgender Zeile zum Laufen gebracht: iptables -t nat -I POSTROUTING 1 -s 11.22.33.44 -p tcp --destination-port 25 -o eth0 -j SNAT --to-source 11.22.33.45 Danke, Günther
participants (3)
-
David Haller -
Günther Zisham -
Peter Wiersig