我在內網及DMZ區各架設了一台Web主機,設定了fail2ban 有訊息就發到公司郵件主機
(由web主機本身的postfix/sendmail來發信)
經測試內網主機可以成功送信,但DMZ區的主機卻發不過來
檢查DNS解析是取得郵件主機的外部IP無誤,但ping及telnetIP都不通
Web Mail也連不上
該怎麼設定,讓DMZ區主機能夠由外部IP連回我的郵件伺服器
已邀請的邦友 {{ invite_list.length }}/5
DMZ區要到內部網段,不應該再繞到外部去.
簡單的作法:在HOSTS 中加入MAIL SERVER 的內部IP.
再將 DMZ 到內部 的25Port 開通.
這個作法我是會,只是我一開始想法是,不讓DMZ能走內部通內網
那是什麼原理讓DMZ無法從外部連回來?DMZ外部IP跟郵件主機外部IP不同阿…雖然都是設定在Fortigate上
注意:DMZ 或 WEB SERVER 的 MASK 設定.
會不會是 MAIL SERVER 的外部IP 與 DMZ的外部IP 被視為同網段.而誤判?
外部一個是220.134.47網段、一個是59.120.179.網段。我照你說的來做好了,開個25port應該沒什麼,我想也會省事多。VDOM沒摸過,還要爬文看一下,如果架構需要變動就麻煩了
問題來了…我開25 PORT讓DMZ可以連到郵件主機,hosts也設定了 192.168.1.9 mail.xxx.com,ping正確取得內部IP,但host指令解析是仍取得外部IP
測試發信,仍會解析到外部IP,所以寄送失敗
systemctl restart nscd 無效,現在主次DNS各別是168.95.1.1 8.8.8.8
不知道怎麼設定才能正確解析?或者得自建DNS了。謝謝~
搞定了…main.cf裡加上
lmtp_host_lookup = native
smtp_host_lookup = native
記得版大曾經啟用了ECMP,
小弟也曾說過目前VIP mapping與port對port直連的優先權都高於ECMP
可能版大沒意會其中的說明
目前按所提需求
建議採用VDOM來切割所謂的DMZ區
這樣才能做到想直接DMZ連外部IP回來
相關架構圖也請附上說明,下回會比較好解釋
如果真還弄不通,請務必尋求銷售廠商技術支援
當初若未談此架構變更,可能會有費用產生
請參酌!
iThome鐵人賽
看影片追技術