一台 NAS 郵件伺服器、兩個防火牆、兩個 Public IP 做備援的可行性

網路管理

tamp0001 2020-08-07 15:22:03 ‧ 1773 瀏覽

分享至

環境：
1.有兩台防火牆 Fortigate 與 Vigor
2.有兩個 Public IP，一個設在 Fortigate，一個設在 Vigor
3.一台 NAS Mail server 有兩個 Lan Port，一個接在 Fortigate，一個接在 Vigor
4.外部 DNS 有設定兩個 MX Record、A Record

需求：
1.當防火牆設備其中一個掛掉，另一個能及時接手。

問題：
1.Fortigate 這端該如何設定，因為之前不知是否設定上啟用 NAT 關係，造成 Mail server
變成垃圾信轉寄主機。

説明：當只使用一個 Vigor 郵件主機運作良好，也不會有垃圾信主機問題。

懇請先進們指點一二，謝謝。

雷伊 iT邦高手 1 級 ‧ 2020-08-07 18:20:31 檢舉

SPAM機構的黑名單上肯定有你們的網域和Public IP
你用Fortigate端寄信給我，我郵件主機反問你是誰
你回答你是Vigor，我先把你設為黑名單在說

tamp0001 iT邦新手 3 級 ‧ 2020-08-08 09:19:22 檢舉

【會這麼做的原因是不要再多花錢的原則下的構想】

我們前陣子 Vigor 無預警當掉，造成 mail 收寄中斷，所以我們想當 Vigor 設備
故障時，mail 能夠走 FortiGate 這條路。也就是我們 mail server 的兩個 Lan Port
分別接了 Vigor 及 Fortigate。

1.搜尋網路上的資料，如果有兩個 Public IP 一般都會在一個防火牆的兩個 Wan Port 做設定。(這不是我們要的)
2.NAS Mail server 已有兩台做叢集。(硬體基本備援有做到)
3.為什會扯到垃圾信，那是我們發現有被當作垃圾信跳板主機時關閉了在 Fortigate 這邊原來 NAT 的設定(廠商幫我們設定的)後，
觀察到主機發送垃圾信的狀況就停止了。關閉後的缺點是我們沒辦法走內網 IP 去登入 Mail server 所以還可以接受。
4.至於在 SPAM 機構有沒有被列入黑名單，我們去查過後並沒有被列入。
5.昨天我們做了拔掉 Vigor 的線路的測試，郵件似乎就會走 Fortigate 這條路。(只是這樣子不知是否 OK)

以上是再補充説明。

林門神JanusLin iT邦超人 1 級 ‧ 2020-08-09 06:37:45 檢舉

Vigor 都可以收usb syslog 可以知道原因

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

mytiny

iT邦超人 1 級 ‧ 2020-08-07 17:46:08

樓主這問題說的詳細，在下看的糊塗
疑問一：防火牆一個掛掉，另一個能及時接手，請問不同牌是要如何做到的?
疑問二：Mail server變成垃圾信轉寄主機，是怎麼會跟防火牆設定有關?
疑問三：只使用一個 Vigor 郵件主機運作良好，為什麼不繼續用就好?
在下資質愚魯，還請樓主明示。

建議最好找賣貴公司網路設備的廠商好好研究一下
要不這裡高手很多，在下先替大家要個架構圖吧
相關的設備型號資訊等先標明一下，感恩喔！

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

mytiny iT邦超人 1 級 ‧ 2020-08-08 11:20:20 檢舉

簡單提供一些建議
1.請採用冷備援，及兩台防火牆設定一樣，一台故障，過來接線到另一台就好，也不過就十來分鐘，貴公司應該沒差，假日出事，樓主自己回來接線一下，老闆會喜歡。
2.不用再NAS搞兩個LAN port，兩個路徑，對貴公司而言太麻煩
3.避免郵件去回不同路，最好只用一台防火牆，覺得哪台穩定就先用哪台，避免當機又要來處理。

相信SI應該有說過HA要同廠牌，也給過建議
不過，貴公司網路越簡單越好，別想太多了