環境敘述:
ISP:IP兩個
路由:RouterOS
設備:N台電腦
問題:
已知透過 RouterOS 的防火牆偽裝功能,
可以將 發出的IP 與 接收的IP 分開,
比如:
NAT 發出去的 IP 為 59.xxx.xxx.100
NAT 接收回來的 IP 為 59.xxx.xxx.200
想請問這樣子的區隔IP做法會不會有問題呢?
目前有架 MailServer dnsServer
目的:
IP 防護安全
已邀請的邦友 {{ invite_list.length }}/5
你是要做非對稱路由嗎? (Asymmetric Routing)
有些廠牌的防火牆預設會擋非對稱路由....
你要先確認: 來跟你通訊的對象, 他用的防火牆沒有擋到非對稱路由, 否則你這樣開下去, 對方馬上就無法跟你通訊了....
除此之外, 非對稱路由還可能引發其他的網路安全問題:
https://blog.gigamon.com/2016/04/28/asymmetric-routing-can-screw-security/
最後, 非對稱路由在網路查修上, 有可能需要花更多的時間, 去驗證不同路由的傳輸結果是否一致, 好分辨出: 問題是發生在哪一條路由上面?....
(原本你只要查一條線, 現在變成要查兩條線)
在下覺得樓主不是要搞Asymmetric Routing (raytracy大神,在下抱歉)
預估只是想要一般電腦電腦去Internet走第一個IP做NAT
然後把email跟DNS,Mapping給第二個IP進來存取
這樣做通常在emai server上要注意安排(可以郵件進出都走同一IP)
因為外面有些防垃圾郵件會回查MX紀錄
看看來源與接收是否一致,不然就當成垃圾郵件
另外,在下覺得這樣設IP對防護安全沒有什麼作用
被打得Host還是會被打,被try還是會被try
資安防護現在都在第七層攻防為主
防火牆防護還停留在IP層是上世紀Y2K的事
只防護對外網路也是很舊的觀念
可惜很多人到現在也不明白
iThome鐵人賽
看影片追技術