iT邦幫忙

1

[發問][網路通訊] ip出去 與 接收 不一樣實物上會有問題嗎?

環境敘述:
ISP:IP兩個
路由:RouterOS
設備:N台電腦

問題:
已知透過 RouterOS 的防火牆偽裝功能,
可以將 發出的IP 與 接收的IP 分開,

比如:
NAT 發出去的 IP 為 59.xxx.xxx.100
NAT 接收回來的 IP 為 59.xxx.xxx.200

想請問這樣子的區隔IP做法會不會有問題呢?

目前有架 MailServer dnsServer

目的:
IP 防護安全

1. SMTP 跟 POP 可以分開,但是 MX沒辦法分開
2. 可以讓兩個IP 做主從的DNS架構主機
3. 沒有那種從A發出從B回收的網路握手原則
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

4
Ray
iT邦大神 1 級 ‧ 2021-06-21 17:01:15

你是要做非對稱路由嗎? (Asymmetric Routing)
有些廠牌的防火牆預設會擋非對稱路由....

你要先確認: 來跟你通訊的對象, 他用的防火牆沒有擋到非對稱路由, 否則你這樣開下去, 對方馬上就無法跟你通訊了....

除此之外, 非對稱路由還可能引發其他的網路安全問題:
https://blog.gigamon.com/2016/04/28/asymmetric-routing-can-screw-security/

最後, 非對稱路由在網路查修上, 有可能需要花更多的時間, 去驗證不同路由的傳輸結果是否一致, 好分辨出: 問題是發生在哪一條路由上面?....
(原本你只要查一條線, 現在變成要查兩條線)

2
mytiny
iT邦超人 1 級 ‧ 2021-06-21 18:07:39

在下覺得樓主不是要搞Asymmetric Routing (raytracy大神,在下抱歉)
預估只是想要一般電腦電腦去Internet走第一個IP做NAT
然後把email跟DNS,Mapping給第二個IP進來存取

這樣做通常在emai server上要注意安排(可以郵件進出都走同一IP)
因為外面有些防垃圾郵件會回查MX紀錄
看看來源與接收是否一致,不然就當成垃圾郵件

另外,在下覺得這樣設IP對防護安全沒有什麼作用
被打得Host還是會被打,被try還是會被try
資安防護現在都在第七層攻防為主
防火牆防護還停留在IP層是上世紀Y2K的事
只防護對外網路也是很舊的觀念
可惜很多人到現在也不明白

我要發表回答

立即登入回答