大明 <dinoming@hotmail.com>
wrote in message
news:8uc0hj$6ko$1@horn.hk.diyixian.com...
> 小弟有一些關於 Firewall
設定的問題想請教,希望大家能給小弟一點意見及幫忙。
>
> 小弟現時公司內部的 Windows 98 的 IP 位址是用 168.168.1.5 -
168.168.1.100
> Subnet Mask 是 255.255.0.0。現在小弟想架設一部 Linux 防火牆 (分別有
Public,
> LAN, DMZ 的介面)。 Email 及 Web Server 是連上 DMZ
的集線器上,內部的使用者
是
> 連上 LAN 的集線器上,而 Public 這個介面是連上 ISP
如我們的 Router 上。
>
> eth0 (PUBLIC) : w.x.y.z
> eth1 (LAN) : 168.168.1.254 ( subnet : 255.255.255.0, Network :
> 168.168.255.255 ) 有錯嗎 ?
> eth2 (DMZ) : 168.168.2.254 ( subnet : 255.255.255.0, Network :
> 168.168.255.255 ) 有錯嗎 ?
>
> 問題是 : 小弟想更清楚有關於 eth1 及 eth2 這兩組 IP
的設定。
>
> 小弟曾經試過使用 2 張網絡卡設定 ipchains + ipmasqadm portfw,
當期時, 內部
網
> 絡包括了 60 台客戶端電腦及 1 台 qmail server.
所有對外的連接,如:
> www,pop3,smtp,telnet,ftp.......等都非常之正常。
但當小弟想利用 outlook 連
接
> mail.mydomain.com 時,等了很久都沒有回應。(但,如果使用
ip address 是可以
的
> !)
您這裡連的不是 smtp ﹐而是 POP吧﹖
>
> (注 : mail.domain.com 的 MX 記錄是由 ISP 的 Bind 指往我們的
True IP
(eth0),
> 再透過 firewall 的 ipmasqadm portfw 至內部那台電腦上。)
如果是 POP﹐MX 也沒怎麼用。關鍵是查 mail.domain.com 的 A
記錄。
>
> 如果由家裡上網是沒有問題的 !!
從小弟的看法,應該是當客戶端要求連接
> mail.mydomain.com 時,Firewall 會把這個請求送往 ISP 的 bind 上..,
然後當客
戶
> 端知道了正確的 IP 後再轉至那個真 IP 上 (注: 那個真的 IP
便是小弟那台
> Firewall 的 eth0.) 再透過firewall 的 ipmasqadm portfw
轉送至內部的 Server
> 上。
>
> 請問大家有何意見?
>
您的 ipchains 是否擋太多東西了﹖
保持目前的設定﹐重設 ipchains﹐使之暫時開放﹐而不要重設
ipmasqadm﹐讓之保留
目前設定。
ipchains -F
ipchains -F
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward MASQ
echo "1" > /proc/sys/net/ipv4/ip_forward