Tomsk Sysadmins Forum
Windows => Администрирование => Topic started by: Angel_of_Sorrow on March 02, 2009, 11:28:34
-
проблема следующего толка - есть сервер на котором стоит керио вин роут фаервол - раздает трафик на контору (около 90 машин),на той же машине стоит керио мэйл сервер- который гоняет почту.сам сервер имеет выход только в тонет а почта должна ходить еще и во внешку.Для досступа во внеху есть VPN подключение.Каким образом надо задать правила в KWF чтоб VPN трафик разрешал только почту (которая ходит во внехху), а остальной трафик шел на тонет ?
может кто нить помомжет кто сталкивался
-
сделай тупо: на сервер виртуалку ставь, на нее майл, а на фаерволе виртуалке огранич. советую wmvare server
-
проблема в том что перестановка почтовика с ноля довольно хлопотное занятие - особенно в рамках конторы ( потому хотелось бы на действующем так сказть
-
проблема следующего толка - есть сервер на котором стоит керио вин роут фаервол - раздает трафик на контору (около 90 машин),на той же машине стоит керио мэйл сервер- который гоняет почту.сам сервер имеет выход только в тонет а почта должна ходить еще и во внешку.Для досступа во внеху есть VPN подключение.Каким образом надо задать правила в KWF чтоб VPN трафик разрешал только почту (которая ходит во внехху), а остальной трафик шел на тонет ?
может кто нить помомжет кто сталкивался
У Вас 2 сетевых интерфейса в керио, 1ый тонет, второй впн, так?
Делаете:
1. Шлюз по умолчанию: шлюз для впн
2. Загружаете маршруты на томск
3.Делаете рулсы в ТП:
для ната вида: источник-локальная_сеть назначение-тонет_интерфейс сервисы-сервисы_ для_ната использовать_нат-да_по_дефолту
остальное что для ната есть удалить
Для почты источник-файрвол назначение-впн_интерфейс,тонет_интерфейс сервисы-сервисы_ для_почты использовать_нат-нет
На данном этапе Ваш почтовый сервер имеет доступ во внеху, а пользователи только в тонет
А теперь о грустном.
Если у Вас IP на впн - динамический, то Вы получаете отлуп на большинстве почтовых серверов при отправке почты + не имеете возможность получать почту от других почтовых серверов. Или иными словами - весь этот огород попросту не имеет смысла, но есть иные способы решить данную проблему
-
У Вас 2 сетевых интерфейса в керио, 1ый тонет, второй впн, так?
Делаете:
1. Шлюз по умолчанию: шлюз для впн
2. Загружаете маршруты на томск
3.Делаете рулсы в ТП:
для ната вида: источник-локальная_сеть назначение-тонет_интерфейс сервисы-сервисы_ для_ната использовать_нат-да_по_дефолту
остальное что для ната есть удалить
Для почты источник-файрвол назначение-впн_интерфейс,тонет_интерфейс сервисы-сервисы_ для_почты использовать_нат-нет
На данном этапе Ваш почтовый сервер имеет доступ во внеху, а пользователи только в тонет
А теперь о грустном.
Если у Вас IP на впн - динамический, то Вы получаете отлуп на большинстве почтовых серверов при отправке почты + не имеете возможность получать почту от других почтовых серверов. Или иными словами - весь этот огород попросту не имеет смысла, но есть иные способы решить данную проблему
спасибо за понимание сочувствие и рецепт )
а какой рецепт можете предложить в данном случае с учетом того что преыдущий не вполне оправдывает себя ?я не напрашиваюсь но пару наводок может кините а дальше и сам додумаю и доведу если можно
-
спасибо за понимание сочувствие и рецепт )
а какой рецепт можете предложить в данном случае с учетом того что преыдущий не вполне оправдывает себя ?я не напрашиваюсь но пару наводок может кините а дальше и сам додумаю и доведу если можно
Тогда вопросы и пища для размышлений:
Можно ли разрешить внешку на интерфейсе с тонетом? (ограничить пользователей томском можно очень легко потом)
Если да, то IP для интерфейса с тонетом статический? есть ли наго MX запись?
Каков примерный объем получаемой почты? Насколько успешна борьба со спамом? (эти 2 вопроса решают затратность почты)
Каковы условия предоставления почтового релея провайдером? лежит ли он в томской зоне? (При отправке почты через томский релей, вы сводите к нулю затраты на отправку своей почты и одновременно практически 100% гарантируете ее доставку минуя фильтры получающей стороны)
-
Тогда вопросы и пища для размышлений:
Можно ли разрешить внешку на интерфейсе с тонетом? (ограничить пользователей томском можно очень легко потом)
Если да, то IP для интерфейса с тонетом статический? есть ли наго MX запись?
Каков примерный объем получаемой почты? Насколько успешна борьба со спамом? (эти 2 вопроса решают затратность почты)
Каковы условия предоставления почтового релея провайдером? лежит ли он в томской зоне? (При отправке почты через томский релей, вы сводите к нулю затраты на отправку своей почты и одновременно практически 100% гарантируете ее доставку минуя фильтры получающей стороны)
внешку есть только по vpn подключению ((
ip адрес томский статик,mx запись наличествует
обьем почты - около 200-250 писем в день с вложениями(в основном документы типа екселя и ворда ),релэй пользую собственный(закрытый,то есть только для своей локали,Dns корректно настроен - потому все вроде ходит- прична использования своего релэя- то что провайдерский падает оч регулярно и почта не ходит ),спаму нету вообще (что странно),в качестве почтового сервера стоит кстати KMS
-
А как сейчас почта ходит? входящие только с томска принимаются?
-
да к сожалению - причем по этому поводу руководство оч ругаеться (
-
да к сожалению - причем по этому поводу руководство оч ругаеться (
Раз ругается, то нужен статический белый IP. Вариантов много, можно у ISP выкупить, колокейшн (дорого правда), размещение маил сервера на площадке в инете (забирать почту потом через ваш впн тунель) и тд