大明 <dinoming@hotmail.com> wrote in message
news:8uc0hj$6ko$1@horn.hk.diyixian.com...
> 小弟有一些關於 Firewall 設定的問題想請教,希望大家能給小弟一點意見及幫忙。
>
> 小弟現時公司內部的 Windows 98 的 IP 位址是用 168.168.1.5 - 168.168.1.100
> Subnet Mask 是 255.255.0.0。現在小弟想架設一部 Linux 防火牆 (分別有
Public,
> LAN, DMZ 的介面)。 Email 及 Web Server 是連上 DMZ 的集線器上,內部的使用者

> 連上 LAN 的集線器上,而 Public 這個介面是連上 ISP 如我們的 Router 上。
>
> eth0 (PUBLIC) : w.x.y.z
> eth1 (LAN)  : 168.168.1.254 ( subnet : 255.255.255.0, Network :
> 168.168.255.255 ) 有錯嗎 ?
> eth2 (DMZ) : 168.168.2.254 ( subnet : 255.255.255.0, Network :
> 168.168.255.255 ) 有錯嗎 ?
>
> 問題是 : 小弟想更清楚有關於 eth1 及 eth2 這兩組 IP 的設定。
>
> 小弟曾經試過使用 2 張網絡卡設定 ipchains + ipmasqadm portfw, 當期時, 內部

> 絡包括了 60 台客戶端電腦及 1 台 qmail server. 所有對外的連接,如:
> www,pop3,smtp,telnet,ftp.......等都非常之正常。 但當小弟想利用 outlook 連

> mail.mydomain.com 時,等了很久都沒有回應。(但,如果使用  ip address 是可以

> !)

您這裡連的不是 smtp ﹐而是 POP吧﹖

>
> (注 : mail.domain.com 的 MX 記錄是由 ISP 的 Bind 指往我們的 True IP
 (eth0),
> 再透過 firewall 的 ipmasqadm portfw 至內部那台電腦上。)

如果是 POP﹐MX 也沒怎麼用。關鍵是查 mail.domain.com 的 A 記錄。

>
> 如果由家裡上網是沒有問題的 !! 從小弟的看法,應該是當客戶端要求連接
> mail.mydomain.com 時,Firewall 會把這個請求送往 ISP 的 bind 上.., 然後當客

> 端知道了正確的 IP 後再轉至那個真 IP 上 (注: 那個真的 IP 便是小弟那台
> Firewall 的 eth0.) 再透過firewall 的 ipmasqadm portfw 轉送至內部的 Server
>  上。
>
> 請問大家有何意見?
>

您的 ipchains 是否擋太多東西了﹖

保持目前的設定﹐重設 ipchains﹐使之暫時開放﹐而不要重設 ipmasqadm﹐讓之保留
目前設定。

ipchains -F
ipchains -F
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward MASQ
echo "1" > /proc/sys/net/ipv4/ip_forward