我現在的環境是中華電信近來的是61.218.X.9的IP
經過防火牆做NAT轉換之後變成192.168.1.x的IP
環境很單純防火牆接一台switch,switch上面只有接一台server 裡面只有網頁&mail server
switch其他都是接電腦,現在要在switch上面多接一台Ironport的ESA(郵件過濾系的一種系統)
ESA的ip是192.168.1.5, mail SERVER的IP是192.168.1.6
在防火牆上面設定ACL&NAT,變成從外部IP近來會找到.6的這台設備,外面的人就可以存取mail
但我現在加了一台ESA,變成近來要先走到ESA載到mail server
我目前方向是說把防火牆要指向.6的IP,設定到.5的那邊
但是ESA & mail server之間的設定我就不太了解
我DNS上面的MX紀錄要更改嗎?或是有其他的方法
他們三方要如何溝通呢?
謝謝各位前輩
已邀請的邦友 {{ invite_list.length }}/5
基本上anti-SPAM/Virus appliance 一定要設成DNS 的MX , 讓信從外頭一定先經過這台, IronPort的我沒用過, 不過裡頭一定有設定可以把信過濾完之後Forward到後頭的mail server, 概念就是這樣.
1.給ESA一個真實ip 作 Firewall port forwarding (TCP port 25)
61.218.x.x --> 192.168.1.5(ESA)
2. 給ESA外部IP一個hostname, 設定DNS MX record指到這台的hostname
3. 設定ESA將信過濾完之後forward信給內部的這台mail server
61.218.x.x --> 192.168.1.5(過濾信件) --> 192.168.1.6 (mail server)
4. 原本的mail server 如果需要從外頭取信寄信(POP3/IMAP/SMTP), 還是給它一個外部IP來作NAT Port forward 到 192.168.1.6 的(110/143/25) 等等, SMTP要做認證就不怕有人用你們的MAIL SERVER亂寄信了..
5. ESA的文件你應該好好看一下, 有了上述概念應該不會太難才是..
- 原本的mail server 如果需要從外頭取信寄信(POP3/IMAP/SMTP), 還是給它一個外部IP來作NAT Port forward 到 192.168.1.6 的(110/143/25) 等等, SMTP要做認證就不怕有人用你們的MAIL SERVER亂寄信了..
從問題中的描述好像只有一個IP而已。
如果有提供外部收信的機制,像 POP3 或 IMAP,直接以NAT by port 的方式指到 192.168.1.6。
如果又要提供員工,可在公司外部利用公司的 SMTP 寄信的話,建議用 SMTP + SSL + STL 的機制,常會看到的例子是用 465 的 Port,也把 port 465 用 NAT 指到 192.168.1.6。
這樣一個IP就可搞定這些需要。
建議用 SMTP + SSL + STL
錯了,是 SMTP + SSL + TLS
這樣就不會用到 port 25。
其實 cafebug 說的很正確,不過如果防火牆又把另一個外部 ip 的 25 port 對給 mail的話,其實很多垃圾信或是病毒信還是可以直接塞進 mail 的 25 port,我們客戶的經驗是,前面這台過濾的機器(ESA),是否有提供與後面 mail主機 smtp 認證的功能
如果有...那恭禧你,要把user端的 smtp server設定設成 ESA 這台機器,當然 dns 也要先設定,如同 cafebug 大 所說的
轉寄給 Gmial 再回寄回來。
別以為我在搗蛋,我是認真的。
小弟也沒用過Ironport, 不過觀念應該都是相同的.
當外部郵件(查詢DNS MX)寄到郵件過濾主機後, 會設定郵件路由(Mail routing).
例如,abc.com.tw route to 1.1.1.1等等...(轉送到內部郵件主機)
當內部郵件主機要寄出外部郵件, 可以設定 * route to 1.1.1.2 (交由過濾主機主機)
而通常過濾主機會設定 * route to DNS mx record (過濾主機遇到不知道的網域,會查詢
DNS mx record, 來決定要送往那台郵件主機(外部)
(架構要看公司需求, 未必是這種模式)
iThome鐵人賽
看影片追技術