Возможно ли в DNS перенаправлять на разные серверы в зависимости от порта?
Конкретная задача: максимально быстро и безболезненно перенести ящики и их пользователей с, прости Господи, nic.ru, на, скажем, pdd.yandex.ru.
Проблема в следующем: у Ника используется одно имя сервера под pop, imap, smtp — mail.nic.ru, у ПДД же — imap.yandex.ru, smtp.yandex.ru. Порты, соответственно, те же и там, и сям.
В ситуации с «раздельными» именами, моя хитрая морда просто прописала бы CNAME (imap.nic.ru » imap.yandex.ru) на локальном DNS-сервере, а потом уже не торопясь перенастраивал пользователей.
Но как сделать, чтобы mail.nic.ru:995 уходил на pop.yandex.ru:995, а mail.nic.ru:465 на smtp.yandex.ru:465.
Или же у меня в корне неверный подход? В таком случае, ткните, пожалуйста, носом куда нужно.
Форвардить пакеты, летящие на IP mail.nic.ru:995 -> IP pop.yandex.ru:995 и ты ды.
Например, так:
sysctl net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -p tcp --dport 995 -j DNAT --to-destination IP_pop.yandex.ru:995
iptables -t nat -A POSTROUTING -j MASQUERADE
Странно, а я думал что NAT используют в любом случае, если пакет выходит за пределы локальной сети .. или нет? Не думаю что топикстартер использует IPv6
Далее, что вам даст эта подмена? Вы думаете яндекс знает что-то о пользователях с nic.ru?
А как на счет pop и smtp сессии? Ведь при авторизации не только имя пользователя и пароль нужен, но и имя сервера, вы его тоже при помощи NAT внутри пакета менять будете?
@wrench10x12 Если порты одинаковые, а они одинаковые, и нужно только отправить пакет вместо одного IP на другой, то нет смысла вообще использовать iptables. Достаточно на локальном DNS поднять зону nic.ru, и прописать в ней ip из - yandex.ru
И совсем не нужно для этого что-то дополнительно NAT-ить или маскарадить.
@bk0011m Посмотрите внимательно на условия задачи: у текущего почтового сервера все службы (pop, smtp, imap) сидят на одном домене mail.nic.ru (привет никовцам). @wrench10x12 вполне правильно заметил, что DNS-серверу на порты пофиг, соответственно, сделать нужно перенаправление нельзя. Если это не так, опровергните ссылкой на мануал).
@DmitryAnatolich Так посмотрите внимательно на условия задачи. Порты одинаковые и там и сям. Значит на порты - забиваем(поскольку они все равно идинаковые) и манипулируем только IP. Локальный ДНС эту задачу решит легко.
Поднимаем у себя зону (nic.ru итп.) и пишем в ней нужные нам IP.
Но, повторюсь, это не решит других проблем. Например доступ к почте не из офиса, сертификаты у серверов разные, пользователей надо переносить и пароли... итд итп.. Это первое что вспомнилось
@bk0011m Блин, я тупой, наверное, совсем (забудем пока про сертификаты, аккаунты и прочую ересь). Но!
Мы отбрасываем порты. И как ДНС должен определить, куда перенаправить запрос, адресованный на mail.nic.ru, — на imap.yandex.ru или на smtp.yandex.ru?
@DmitryAnatolich Ах вон оно что. Признаю не заметил что у nic.ru один сервер на все.
Признаю свою ошибку, посыпаю голову пеплом.. ну и что там еще принято...
Три варианта решения по мере сложности:
1) используем iptables таблицы prerouting или output с действием redirect. Быстро настраивается, но может не вписаться в действующие правила фильтрации и маршрутизации. NAT использовать не надо.
2) поставить проксю и перенаправлять трафик с нее. Вы поднимаете у себя зону nic.ru, поднимаете на компе mail.nic.ru две прокси на нужных портах и отправляете трафик с них. Можно попробовать использовать 3proxy, только уточнить в документации.
3) Ставим свои почтовые службы и заставляем пользователей общаться с вашими, а уже ваши использовать как релеи к основным серверам.
Тема старая, пострадаю некрофилией. Учитывая, что за 2 года никто так и не ответил...
Если удастся перенести ящики пользователей (о чем говорил предыдущий оратор) на новый сервер, достаточно будет на локальном ДНС сервере прибиндить mail.nic.ru к pop.yandex.ru. Для этого объявляешь матерзону nic.ru, переносишь в неё записи с реальной зоны, кроме mail, а для mail делаешь CNAME на pop.yandex.ru.
Вместо pop.yandex.ru можно использовать smtp.yandex.ru - у них адреса совпадают.
Тема уже 2 года как неактуальна ввиду другого места работы.
Там же основной задачей было перенаправить все так, чтобы mail.nic.ru:995 уходил на pop.yandex.ru:995, а mail.nic.ru:465 на smtp.yandex.ru:465, т.е. один домен » много доменов.
Вместо pop.yandex.ru можно использовать smtp.yandex.ru - у них адреса совпадают.
Да, не заметил разницы в одной циферке в айпишниках, подумал, что одинаковые.
В вашем случае можно использовать nginx проксю на адресе mail.nic.ru и соответствующих портах, которая будет апстримить запросы к соответствующим серверам. Хорошая статья на этот счет: www.alsigned.ru/?p=3189
А имена серверов, аккаунты, пароли пользователей у вас тоже одинаковые? Как будет проходить авторизация на сервере, если вы принудительно направите трафик к другому серверу?
ИМХО - никак. Только перенастройка аккаунтов на рабочих местах
В ПДД есть возможность загрузить список логинов-паролей. Про сервера, собственно, и вопрос :-)
Самое сложное — это вытащить текущие пароли из Outlook. Но для этого есть Nir Mail PassView и логон-скрипты, так что всё решаемо.
Что-то подсказывает мне, что косяки будут.
Я бы лучше поступил по другому. Как я понимаю, у вас свой домен. Ну так настройте на yandex еще один почтовый сервер, сделайте его первичным, а на nic.ru - вторичным.
Все это делается на уровне DNS
Главное это перенести пользователей и их ящики, или настроить синхронизацию.
Зато любой человек, будь то он в офисе или дома, всегда сможет достучаться до своей почты. А потом постепенно перенесете всех в нужное место.
@bk0011m На то политики и есть. А то и вообще не нужны будут, так как «Предыдущий админ (с)» наоставлял мне юзеров с не-SSL-ными настройками.
А ввиду дурацких ограничений Ника (снова привет) на размеры ящиков и адовые цены за дополнительное дискоместо юзеры вынуждены выкачивать всю почту себе и в случае командировок по филиалам — таскать с собой .PST.
В общем, грусть.
@DmitryAnatolich Рассмотрите вариант с вторичным почтовым сервером. ИМХО - самый правильный. А редиректы и подделки IP - колхоз какой-то, тем более есть шанс что будут косяки
Простой
Простой
